- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
02-透明模式部署配置举例
本章节下载: 02-透明模式部署配置举例 (596.18 KB)
本文档介绍了Web应用防火墙透明模式部署的配置举例。
Web应用防火墙的透明部署模式可以在不改变现有网络拓扑结构的情况下实现对Web服务器进行安全防护的目的。可以低成本、高效的将Web防火墙快速部署到现有网络中,减少因网络改造而对业务产生的影响。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
设备在出厂时,默认所有接口都是属于vlan1的access口,用户可以按实际需求修改接口的类型。
如图所示,Host A和Web Server服务器属于同一网段,可以实现直接互联访问,现要求在Host A和Web Server服务器中间透明部署Web应用防火墙实现对Host A访问Web服务器流量的监控。
本案例我们选择Web应用防火墙的GE0/2和GE0/3接口作为业务接口。正式部署可根据用户环境选择相应接口作为业务接口。
· 透明部署时,如需要Bypass功能,WAF的进、出口需要选择一对Bypass口。
· 各型号设备包含的Bypass口以及各型号插卡包含的Bypass口,可参照产品的规格说明。
图1 Web应用防火墙透明部署配置举例组网图
本举例是在系统版本:ESS6711上进行配置和验证的,并针对后续版本中的修改更新了部分截图、说明。
登录Web应用防火墙:启动IE/Firefox浏览器,在地址栏内使用https访问管理口IP,即可进入Web网管登录页面。输入用户名“admin”、密码“admin”,点击<登录>按钮即可进入Web网管页面并进行相关操作。
推荐使用IE10+及Firefox56+及其以上版本的浏览器。
登录应用防火墙后点击左侧菜单:网络配置-网络接口。
图2 网络接口界面
点击GE0/2前的选择框并点击编辑:配置接口模式为透明模式;端口状态为Up。GE0/3接口配置相同。
图3 网络接口配置页面
点击左侧安全策略-Web安全策略,根据需要添加调整Web应用防护策略。
图4 WAF策略界面
点击添加按钮可以添加新WAF策略,点击策略右侧操作按键可以调整策略配置,可根据客户安全需求调整策略内容和动作等信息。调整完毕后点击确定。
图5 WAF策略配置界面
点击左侧菜单栏安全策略-策略引用,将入侵检测策略及Web防护策略与Web服务器进行关联。
点击左上方添加按钮,添加新的策略,上联接口选择流量入接口(以组网图1为例,即GE0/2接口),根据业务情况选择入侵检测策略和WEB防护策略,点击服务器安全组按钮添加被保护服务器。
图6 策略引用界面
添加被保护服务器:在服务器列表里添加服务器地址和掩码,协议端口可根据业务情况进行填写和选择,填写完成后点击右侧的添加按钮即可添加到服务器列表中,可以添加多条服务器信息。添加完成后点击应用并返回上一级界面。
图7 服务器添加界面
添加策略引用后界面,默认情况下策略添加完成后并不会启用,需点击操作界面的启用按键启用策略,策略启用后对Web服务器进行安全防护。
图8 策略引用配置完成
· Host A访问Web Server可以正常打开Web的页面。
· 进行攻击测试。
攻击测试方法:
可以在目标服务器上安装测试靶机环境,靶机软件DVWA服务器端。
在客户端用浏览器登录靶机DVWA测试页面。
图9 SQL注入
选择SQL注入选项,并点击测试方法项
图10 SQL注入
· 进行攻击测试后,可以在Web安全策略中观察到策略命中数。
· 在左侧日志报表项-日志-WEB安全日志中可以查看具体告警信息。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
