WAF部署方案.docx
《WAF部署方案.docx》由会员分享,可在线阅读,更多相关《WAF部署方案.docx(12页珍藏版)》请在冰豆网上搜索。
WAF部署方案
xx学院WAF部署方案
拓扑现状
目前7510E上有防火墙及IPS插卡,通过配置查看均生效
如下配置:
#开启本地镜像
mirroring-group1local
#使能ACFPsever和ACSEIserver功能
acfpserverenable
#
acseiserverenable
#配置交换机主控板的流量转发模式为enhanced
switch-model2-enhanced
#IPS内连接口所属vlan
vlan8
descriptionfor_IPS
#
vlan1007
descriptionFW-to-S8508
#FW内连接口所属vlan
vlan1017
descriptionServer-to-FW
#配置IPS对应插卡IP地址,为IPS插卡web配置时OAAsever的地址
interfaceVlan-interface8
ipaddress10.254.1.1255.255.255.0
#配置FW对应插卡IP地址,为FW插卡web配置时互联的地址
interfaceVlan-interface1017
descriptionFW-to-server
ipv6address2001:
DA8:
22B:
FFFA:
:
1/64
ipv6addressautolink-local
ipaddress172.16.255.37255.255.255.252
#第二个板卡为防火墙插卡
interfaceTen-GigabitEthernet2/0/1
portlink-modebridge
descriptionto_FWM
portlink-typetrunk
porttrunkpermitvlan110071017
mirroring-group1mirroring-portboth
#第四个板卡为IPS插卡
interfaceTen-GigabitEthernet4/0/1
portlink-modebridge
descriptionto_IPS
portlink-typetrunk
porttrunkpermitvlanall
porttrunkpvidvlan8
portconnection-modeextend
mac-addressmac-learningdisable
#配置snmpv3参数,
snmp-agent
snmp-agentlocal-engineid800063A203002389505FAE
snmp-agentcommunityreadcss
snmp-agentcommunitywritenet
snmp-agentcommunityreadccomsnmp
snmp-agentsys-infoversionall
snmp-agentgroupv3v3group_noread-viewisowrite-viewiso//用户名v3user_no在IP插卡上配置时会用到
snmp-agentmib-viewincludedisoiso
snmp-agentusm-userv3v3user_nov3group_no
#默认路由,下一跳指向FW板卡
iproute-static0.0.0.00.0.0.0172.16.255.38
FW板卡配置
#
interfaceTen-GigabitEthernet0/0
portlink-moderoute
#同7510连接的接口互联IP
interfaceTen-GigabitEthernet0/0.1
descriptionTo-serverzone
vlan-typedot1qvid1017
ipv6address2001:
DA8:
22B:
FFFA:
:
2/64
ipv6addressautolink-local
ipaddress172.16.255.38255.255.255.252
#同8508连接的接口互联IP
interfaceTen-GigabitEthernet0/0.2
descriptionTo-S8508
vlan-typedot1qvid1007
ipv6address2001:
DA8:
22B:
FFF7:
:
4/64
ipv6addressautolink-local
ipaddress172.16.255.28255.255.255.248
#配置路由
iproute-static0.0.0.00.0.0.0172.16.255.25默认指向S8508
iproute-static10.3.40.0255.255.255.0172.16.255.37
iproute-static10.10.10.0255.255.255.0172.16.255.37
iproute-static10.10.12.0255.255.255.0172.16.255.37
iproute-static10.10.23.0255.255.255.0172.16.255.37
iproute-static172.16.102.0255.255.255.0172.16.255.37
iproute-static172.16.250.0255.255.255.0172.16.255.37
iproute-static211.71.160.32255.255.255.224172.16.255.37
iproute-static211.71.169.0255.255.255.0172.16.255.37
iproute-static211.71.175.0255.255.255.192172.16.255.37
iproute-static211.71.175.64255.255.255.192172.16.255.37
iproute-static211.71.175.128255.255.255.192172.16.255.37
iproute-static211.71.175.192255.255.255.192172.16.255.37
iproute-static218.249.243.96255.255.255.224172.16.255.37
业务需求
需要将原有串联在7510E与服务器接入交换机之间的透明部署的网页WAF防火墙更改至旁挂在7510E上,通过控制措施将访问服务器80端口的流量牵引至WAF,经过流量清洗后返回到服务器
鉴于对目前现状的分析,采用如下部署方案
部署方式旁挂部署
实现方式:
策略路由
通过policybasedroute进行策略路由(弱策略路由)
配置互联vlan下IP地址,在WAF上进行配置,测试ping通
建立访问控制列表
针对tcp访问的目的端口80做访问控制列表
aclnumber3000
rule0permittcpdestinationIPdestination-porteq80
rule5permittcpdestinationIPdestination-porteq80
rule10permittcpdestinationIPdestination-porteq80
rule15permittcpdestinationIPdestination-porteq80
rule20permittcpdestinationIPdestination-porteq80
rule25permittcpdestinationIPdestination-porteq80
rule30permittcpdestinationIPdestination-porteq80
#设置策略路由
policy-based-route1permitnode10
if-matchacl3000
applyip-addressnext-hopX.X.X.XWAFIP
vlan接口下应用路由策略
#
interfaceVlan-interfaceXXX
ippolicy-based-route1
#
或者在物理接口下应用路由策略
interfaceGEthernet0/1
ip address192.168.1.1255.255.255.0
ip policyroute-policy 1
策略路由下一跳失效时对报文的处理
根据在策略路由下一跳失效的情况下,对匹配策略路由的报文处理方式的不同,我们常把策略路由分为两种实现方式,称之为强策略路由和弱策略路由。
1.弱策略路由方式的PBR
弱策略路由方式的PBR转发流程如下:
报文进入设备后:
(1)优先按照策略路由转发,如果不匹配策略路由设定匹配条件,则按照正常路由表转发。
如果有路由表匹配,按照路由表下一跳进行转发,否则丢弃报文。
(2)如果匹配了策略路由设定的匹配条件,则按照策略路由设定的下一跳进行转发。
如果下一跳不可达,则按照正常路由转发。
(3)如果有路由表匹配,按照路由表下一跳进行转发。
如果没有路由表匹配,查询策略路由是否设置了缺省下一跳,如果设置了,按照缺省下一跳进行转发;如果没有设置,丢弃报文。
从以上报文转发的步骤看出,弱策略路由的实现方式特点是:
当策略路由配置的下一跳不可达时,匹配了策略路由匹配条件的报文仍然可以查找路由表进行转发。
2.强策略路由方式PBR
强策略路由方式的PBR转发流程如下:
从以上流程图看出,强策略路由的实现方式特点是:
当策略路由配置的下一跳
不可达时,匹配了策略路由匹配条件的报文被直接丢弃,不能再进行路由表的查询转发,所以本次WAF部署实现采用弱策略路由方式。
大多数设备既可以支持强策略路由,也可以支持弱策略路由,支持哪一种方式进行转发和配置方式(IPPBR或QoSPBR)有一定的联系。
通常IPPBR配置方式仅能支持弱策略路由,而QoSPBR配置方式对于有些设备来说,仅支持强策略路由,对另一些设备来说,也可以同时支持强、弱策略路由,使用哪种方式可以通过配置调整。
策略路由下一跳失效的判断条件
通常我们都认为下一跳失效的判断条件为下一跳是否可达,但实际上设备在实现上并没有探测下一跳是否可达的机制(某些条件下可以使用额外的辅助技术,如BFD、NQA等),因此设备只能根据自身的各种因素进行判断。
H3C各款设备实现大体相同,但也有实现不一致的细节,具体如下:
1.下一跳是直连网段地址的情况
S75E交换机判断的条件是ARP,只要存在对应下一跳地址的ARP表项,则策略路由认为下一跳可达。
作为交换机,ARP表项的检查更为严格,要求ARP表项必须对应VLAN及出接口,否则仍然认为下一跳不可达。
比如S75E策略路由下一跳对应的物理接口状态为UP,但是下一跳并不回应ARP请求,此时我们可以在设备上配置静态ARP,要求必须配置对应VLAN和出接口,此时策略路由才认为下一跳可达。
对于S75E的路由端口,判断条件与SR88相同。
MSR路由器判断的条件是ARP,只要存在正确的对应下一跳地址的ARP表项,则策略路由认为下一跳可达。
比如MSR策略路由下一跳对应的物理接口状态为UP,但是下一跳并不回应ARP请求,此时我们在设备上配置静态ARP(仅能配置短ARP,不能配置出接口),则策略路由仍然认为下一跳可达。
SR88路由器判断的条件也是ARP,只要存在正确的对应下一跳地址的ARP表项,则策略路由认为下一跳可达。
SR88对ARP表项的正确性检查较为严格,除了IP和MAC的对应关系外,还要求必须对应出接口,否则仍然认为下一跳不可达。
值得注意的是,SR88在配置静态ARP时,无法配置出接口(即只能配置短ARP表项,不能配置长ARP表项),这样就要求SR88配置的策略路由的下一跳必须要能够回应ARP请求。
也就是说,SR88策略路由下一跳的ARP表项必须动态学习到,否则认为下一跳不可达。
(或者通过某些手段,通过平台产生ARP请求,则短ARP表项会根据查询路由表的动作自动转变为长ARP表项)
2.下一跳是非直连网段地址的情况
MSR对于非直连网段的下一跳地址,查找路由表,如果能匹配到非缺省路由,则认为策略路由下一跳可达。
如果没有匹配到任何路由,或者只能匹配缺省路由,则认为策略路由下一跳不可达。
SR88当前最新版本的策略路由,不能支持非直连网段的下一跳,配置为非直连网段的下一跳时,直接认为下一跳地址不可达。
S75E(包括IPPBR,QoSPBR)对于非直连网段的下一跳地址,查找路由表,如果能匹配到路由(包括缺省路由),则认为策略路由下一跳可达。
如果没有匹配到任何路由,则认为策略路由下一跳不可达。
优化措施
使用额外的辅助技术,如BFD、NQA等,通过track监测实现快速处理。
可以与Track模块实现联动功能的监测模块包括:
NQA(NetworkQualityAnalyzer,网络质量分析)
BFD(BidirectionalForwardingDetection,双向转发检测)
Track的用途是实现联动功能。
如图所示,联动功能通过在监测模块、Track模块和应用模块之间建立关联,实现这些模块之间的联合动作。
联动功能利用监测模块对链路状态、网络性能等进行监测,并通过Track模块将监测结果及时通知给应用模块,以便应用模块进行相应的处理。
例如,在策略路由、Track和NQA(BFD)之间建立联动,利用NQA(BFD)监测策略路由的下一跳地址是否可达。
NQA监测到下一跳不可达时,通过Track通知策略路由模块该监测结果,以便策略路由模块将该条路由置为无效,确保报文不再通过该策略路由转发,按照正常路由转发。
如果应用模块直接与监测模块关联,由于不同监测模块通知给应用模块的监测结果形式各不相同,应用模块需要分别处理不同形式的监测结果。
联动功能在应用模块和监测模块之间增加了Track模块,通过Track模块屏蔽不同监测模块的差异,将监测结果以统一的形式通知给应用模块,从而简化应用模块的处理。
BFD实现方式
配置bfd会话模式是激活的
bfdsessioninit-modeactive
配置bfdecho源地址
bfdecho-source-ip1.1.1.1
进入接口模式:
[GigabitEthernet1/1/1]bfdmin-transmit-interval50(配置发送BFD控制报文的最小时间间隔,bfd控制报文最小发送间隔)
[GigabitEthernet1/1/1]bfdmin-receive-interval50(配置接收BFD报文的最小时间间隔,bfd控制报文最小接收间隔)
[GigabitEthernet1/1/1]bfddetect-multiplier5(配置检测时间倍数)
配置跟踪组,配置bfd检测的目的地址和本地的IP地址
Track1bfdechointerfaceGigabitEthernet1/1/1remoteipXXXXlocalipXXXX
将策略路由和track跟踪组绑定
policy-based-route1permitnode10
applyip-addressnext-hopX.X.X.Xtrack1
NQA实现方式
配置探测组adminoper
nqaentryadminoper
类型为icmp-echo,即ping操作
typeicmp-echo
ping的目的地址XXXX
destinationipxxxx
频率为1000毫秒,即1秒
frequency1000
配置反应组1,如果连续测试三次失败则出发相关动作
reaction1checked-elementprode-failthreshold-typeconsecutive3action-typetrigger-only
跟踪组1和adminoper的reaction1绑定,即反应组1触发跟踪组1
track1nqaentryadminoperation-tagreaction1
使能nqa
nqaagentenable
nqa调度配置,即从配置开始起一直进行调度测试
nqascheduleadminoperation-tagstart-timenowlifetimeforever
将策略路由和track跟踪组绑定
policy-based-route1permitnode10
applyip-addressnext-hopX.X.X.Xtrack1
升级会员 