久鼎信安WAF部署指南2.docx
《久鼎信安WAF部署指南2.docx》由会员分享,可在线阅读,更多相关《久鼎信安WAF部署指南2.docx(18页珍藏版)》请在冰豆网上搜索。
久鼎信安WAF部署指南2
XX公司WEB应用防护系统V3.2.3
部署指南
©2018XX公司
■版权声明
本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属XX科技所有,受到有关产权及版权法保护。
任何个人、机构未经XX科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
前言
文档范围
本文将覆盖WAFWEB应用防护系统(简称XXXWAF)的WEB管理界面和串口管理界面的所有功能特点,并详细介绍该系统的具体使用方法。
期望读者
期望了解本产品主要技术特性和使用方法的用户、系统管理员、网络管理员等。
本文假设您对下面的知识有一定的了解:
系统管理
Linux和Windows操作系统
TCP/IP协议
虚拟网络、链路聚合、路由、交换
格式约定
粗体字——命令和关键字
斜体字——需要您输入的信息
——使用技巧、建议和引用信息等
——重要信息
【XXX】——菜单名称和按钮名称的表示方式
【A】【B】——菜单项选择的表示方式
第一篇:
将WAF加入到网络拓扑
1.网络部署案例1—透明模式部署
1.1案例拓扑
透明部署模式是指,Waf以交换机的模式部署在用户网络中。
例如,在某用户网络中,部署拓扑如下所示:
1.2案例操作
以下示例中,我们将以4口WAF防火墙配置举例。
步骤
动作
说明
1
a)创建1个新的VLAN,ID为2
b)Port1,port2,port3加入到VLAN2中
缺省情况下,所有的端口port0,port1,port2,port3都在MngtVlan(管理VLAN)中,为了达到通信网段和管理网段的分开,我们创建一个新的VLAN,单独用户通信网段。
Port0保留在MngtVlan中,其他口到新的VLAN中。
2
a)VLAN2增加IP192.168.11.2/24
b)WAF添加缺省网关192.168.11.1
因为WAF需要和外界进行通信,因此需要对VLAN2配置一个IP,并且需要设置路由。
3
将port0和管理PC相连
可以将port0和管理PC直接进行(中间可加交换机),对WAF进行管理。
4
将port1连接至上层路由器
5
将port2连接至web服务器A
6
将port3连接至web服务器B
1.3拓扑验证
配置以上拓扑后,应该达到以下效果,验证拓扑及网络配置的正确性
a)在WAF上能ping通路由器,管理PC,服务器A,B
b)在服务器A上能ping通路由器,服务器B
c)在服务器B上能ping通路由器,服务器A
1.网络部署案例2—路由模式部署
1.1案例拓扑
路由部署模式是指,Waf以路由器的模式部署在用户网络中。
例如,在某用户网络中,部署拓扑如下所示:
1.2案例操作
以下示例中,我们将以4口WAF防火墙配置举例。
步骤
动作
说明
1
a)创建一个新VLAN,ID为1
b)将port1添加到VLAN1
c)添加IP192.168.11.1到VLAN1
2
a)创建一个新VLAN,ID为2
b)将port2添加到VLAN2
c)添加IP192.168.12.1到VLAN2
3
a)创建一个新VLAN,ID为3
b)将port3添加到VLAN3
c)添加IP192.168.13.1到VLAN3
4
在WAF上设置网关192.168.11.1
5
将port0连接到管理网络192.168.1.0段
可以将port0和管理PC直接进行(中间可加交换机),对WAF进行管理。
6
将port1连接至上层路由器
7
将port2连接至web服务器A
8
将port3连接至web服务器B
1.3拓扑验证
配置以上拓扑后,应该达到以下效果,验证拓扑及网络配置的正确性
a)在WAF上能ping通路由器,管理PC,服务器A,B
b)在服务器A上能ping通路由器,服务器B
c)在服务器B上能ping通路由器,服务器A
第二篇:
为服务器添加Web安全保护功能
WAF设计将网络拓扑描述与应用层分离的设计模式,因此Web安全设计2个部分:
1)服务器管理,此部分主要完成对网络拓扑描述;2)Web安全,主要根据各个站点的安全进行配置。
在设置Web安全之前,请确定服务器管理所采用的管理模式:
1)如果后端服务器提供一个主机的Web服务,则采用普通模式;
2)如果后端一个服务器提供多个域名的Web服务,则采用虚拟主机服务器管理;
3)如果后端二台或者二台以上服务器提供同一域名的Web服务,则采用负载均衡模式服务器管理模式;
透明部署(以图1为例)
步骤
项目
拓扑
操作步骤
1
服务器管理
【注】无论何种模式,当正确配置了服务器管理,在Web安全->站点安全中可以看到相应的域名;
普通模式
服务器192.168.11.4提供的服务
1)选择普通服务器管理;
2)服务器名称:
唯一标识,比如abc
3)站点域名:
必须填真实的域名:
;
4)IP地址:
必须为192.168.11.4;
5)接口:
VLAN2(如图1所示,192.168.11.4在vlan2中);
6)是否启用:
默认启用
7)是否启用HTTP:
如果后端服务器启用了http服务,勾选此项并需要填充端口号,默认80
8)是否启用HTTPS:
如果后端服务器启用了https服务,勾选此项并需要填充端口号,默认443
9)如果服务器有别名或者做过NAT并且允许用户以公网IP来访问服务器,则必须在随后的别名配置中,分别加入外网IP地址和别名,否则别名的访问将不被保护。
虚拟主机模式
服务器192.168.11.4提供二个网站的Web服务:
1)选择普通虚拟主机服务器管理;
2)服务器名称:
唯一标识,比如abc
3)IP地址:
必须为192.168.11.4;
4)接口:
VLAN2(如图1所示,192.168.11.4在vlan2中);
5)是否启用:
默认启用
6)是否启用HTTP:
如果后端服务器启用了http服务,勾选此项并需要填充端口号,默认80
7)是否启用HTTPS:
如果后端服务器启用了https服务,勾选此项并需要填充端口号,默认443
【注】如果2个站点工作在不同的侦听端口,则采用普通服务器模式即可。
确定后,点击“下一步”,在随后出现的窗口里边,选择增加站点域名、站点别名;
8)站点域名:
必须填真实的域名:
,;
9)如果服务器有别名,则必须在随后的别名配置中,分别加入外网IP地址和别名,否则别名的访问将不被保护。
对于虚拟主机,外网IP不能被填入这儿。
点击确认即可。
负载均衡模式
服务器192.168.11.4和192.168.11.5提供对站点服务
1)选择普通负载均衡服务器管理;
2)服务器名称:
唯一标识,比如abc
3)负载均衡算法:
系统提供五种负载均衡算法,分别是根据IP的hash算法,RR(轮循算法)URLHASH(根据URL地址的哈希算法),FAIR(根据响应比的公平算法),WEIGHT(权值算法),推荐使用FAIR算法;
4)接口:
VLAN2(如图1所示,192.168.11.4在vlan2中);
5)HTTP/HTTPS:
后端的服务器提供那种服务,默认为http;
确定后,点击“下一步”,在随后出现的窗口里边,选择增加IP地址和侦听端口机器权值;
6)后端IP地址、端口,权值:
192.168.11.4,端口80,权值4
192.168.11.5,端口8080,权值5
点击确认,进入下一步,在新出现的页面中,填入
7)站点域名:
必须填真实的域名:
8)站点别名:
可以选择填写;
点击确认即可。
2
规则配置
系统自定义了部分规则
用户可以根据自己需求来增加自定义规则
自定义规则的增加,根据向导,填入相应的检查域、方向、特征码等字段;
3
安全配置
管理员可以针对各个不同站点需求,提供站点安全配置;
i.配置检查类别,目前提供9类安全威胁检查;
ii.管理员可以根据网络应用来启动、关闭某些规则。
在排除规则中,填写排除规则即可;
4
站点安全
【注】此部分只显示正确配置了服务器管理的Web站点,如果Web站点没有正确配置,则此部分无法显示相关站点
Web站点安全是域拓扑无关的操作,因此这部分,我们不在区分普通模式、虚拟主机模式、负载均衡模式
1)双击要配置的站点,比如;
根据向导进行配置;
2)配置文件,指Web安全配置,比如的配置文件为abc,选择abc
3)选取只检查从客户端到服务器方向的数据包,以便提高系统检查效率;
4)最大检查长度,选择默认的前200字节;
5)打开日志;
6)启用本安全检索;
7)检查域:
根据需要选择相应检查域;
8)处理动作
ERROR:
返回错误代码,此要求用户填入错误代码,一般为404;
REDIRECT:
重定向,要求用户填入重定向的URL,比如定向到
MONITOR:
监控模式
PASS:
通过数据包
DEFAULT:
选择规则所默认的动作来处理相应的安全威胁;
9)高级选项
-扫描器,是否需要扫描器对本站点进行扫描;
-网页防篡改,是否需要网页防篡改支持;
-屏蔽站点信息,是否屏蔽后台web服务器版本信息,使能,则要求填入屏蔽的具体信息;
5.
黑名单/白名单
【注】该部分用于显示的放行和禁止源地址的访问动作
黑名单/白名单目前支持单IP设置和IP网段设置两种
黑名单,永久阻止源IP匹配的用户操作,如果启用黑名单则不进行规则过滤直接阻断
白名单,某些内部IP段的用户在访问内部站点的时候可以被认为是安全的,在这种情况下,这些IP地址段可以配置为白名单。
第三篇:
为服务器添加DDos安全保护功能
1.DDos部署案例—网络拓扑
DDos功能即能在路由模式,也能在透明模式下工作。
当用户配置好网络拓扑后,即可配置DDos防护功能。
网络拓扑配置详见第一篇。
我们以透明模式为例,拓扑形式如下:
2.DDos部署案例—为服务器A增加DDos防护功能
步骤
动作
说明
1
配置网络拓扑
详见第一篇
2
创建DDos防护服务器A
我们需要指明DDos防护模块需要防护的服务器的IP
3
编辑服务器A的DDos防护设置
创建完服务器A后,即可为服务器A设置各种防护功能
第四篇:
网页防篡改部署方案
1.网络部署案例1—Windows服务器
1.1案例拓扑
例如,在某用户网络中,部署拓扑如下所示。
WAF连接1台Windows服务器
1.2案例操作
步骤
动作
说明
1
配置基本网络,参见第一篇
2
添加站点
a)如果在WAF上已经配置了Windows服务器上的2个站点,那么在站点安全网页放篡改页面里使能网页防篡改,然后到网页放篡改页面里编辑站点属性
b)如果没用配置站点,那么直接到到网页放篡改页面里添加站点
3
配置站点1
∙站点名称:
webray
∙IP地址:
192.168.1.12.4
∙网站主目录:
c:
/wwwroot/web
∙备份目录:
c:
/wwwbak/web
∙例外规则:
*.exe;*.log
∙检测周期:
10s
网站主目录是网站对外提供WEB服务的目录
备份目录是改网站的存储目录,网站拥有者在这个目录下操作
另外规则是当从备份目录同步到主目录时哪些文件/目录不同步
4
配置站点2
∙站点名称:
sohu
∙IP地址:
192.168.1.12.4
∙网站主目录:
c:
/wwwroot/sohu
∙备份目录:
c:
/wwwbak/sohu
∙例外规则:
*.exe;*.log
∙检测周期:
10s
同上
5
在Windows服务器上启动后台监控程序
a)配置configure.ini
ipaddr=192.168.12.1
b)启动后台监控程序
双击wka.exe
1.3配置验证
配置后,应该达到以下效果
a)验证拓扑及网络配置的正确性
b)在网页放篡改服务器状态里可以看到Windows服务器的状态,包括是否连接,监控的网站个数,服务器的CPU利用率和内存利用率
c)到Windows服务器上修改网站主目录c:
/wwwroot/web和c:
/wwwroot/sohu下面的文件,过了检测周期后看看主目录是否被恢复了
2.网络部署案例2—Linux服务器
2.1案例拓扑
例如,在某用户网络中,部署拓扑如下所示。
WAF连接1台Linux服务器
2.2案例操作
步骤
动作
说明
1
配置基本网络,参见第一篇
2
添加站点
a)如果在WAF上已经配置了Linux服务器上的2个站点,那么在站点安全网页放篡改页面里使能网页防篡改,然后到网页放篡改页面里编辑站点属性
b)如果没用配置站点,那么直接到到网页放篡改页面里添加站点
3
配置站点1
∙站点名称:
sina
∙IP地址:
192.168.1.13.4
∙网站主目录:
/wwwroot/sina
∙备份目录:
/wwwbak/sina
∙例外规则:
*.log;*.tmp
∙检测周期:
10s
网站主目录是网站对外提供WEB服务的目录
备份目录是改网站的存储目录,网站拥有者在这个目录下操作
另外规则是当从备份目录同步到主目录时哪些文件/目录不同步
4
配置站点2
∙站点名称:
baidu
∙IP地址:
192.168.1.13.4
∙网站主目录:
/wwwroot/baidu
∙备份目录:
/wwwbak/baidu
∙例外规则:
*.log;*.tmp
∙检测周期:
10s
同上
5
在Linux服务器上启动后台监控程序
./raykeeper192.168.13.1&
2.3配置验证
配置后,应该达到以下效果
a)验证拓扑及网络配置的正确性
b)在网页放篡改服务器状态里可以看到Linux服务器的状态,包括是否连接,监控的网站个数,服务器的CPU利用率和内存利用率
c)到Linux服务器上修改网站主目录/wwwroot/sina和/wwwroot/baidu下面的文件,过了检测周期后看看主目录是否被恢复了
第五篇问题和解答
Q:
CF卡第一次安装后,port–S后,没有找到所有网卡
A:
CF卡第一安装后,需要连接串口,执行factoryreset–R后,系统会重启,就能发现所有网卡了。
Q:
新建一个VLAN后,将网线连接到新建的VLAN下,无法通过新建VLAN管理WAF
A:
需要添加该VLAN对应ip网段的访问控制规则,访问通过非管理VLAN访问。
Q:
配置了服务器管理,规则,以及站点安全以后,没有起到防护作用
A:
作为WAF的核心功能,因为设计到的配置比较多,因此我们采用了先配置后应用的方式,在对Web安全进行配置以后需要通过界面右上角的应用按钮将配置下发后才能生效
Q:
电邮设置完成以后,发送测试邮件总是不成功
A:
电邮设置必须要先保存,保存成功以后再进行电邮发送试验
Q:
如何配置多个用户,并分角色管理
A:
WAF使用了角色管理的概念,系统默认存在3中用户,超级管理员,账户管理员,审计管理员。
只有账户管理员负责配置各种其他类型用户,系统安装以后默认的账户管理员为account,密码account。
登陆后可以增加新用户
Q:
应用DDOS和网页防篡改功能未出现在左侧列表中
A:
这两个功能受license的控制,请检查分发的许可文件是否允许该功能
升级会员 