手册下载
H3C SecPath W2000-V-G2系列Web应用防火墙
软件安装指导
Copyright © 2023新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。
(1) 本文档以虚拟WAF的E6203P01版本镜像文件为例进行安装,安装完成之后,需要将VWAF升级到最新版本之后再配置业务。支持在CAS 5.0版本上安装,支持在VMware Esxi平台上安装。
(2) 请严格按照如下安装步骤中所选择的配置,否则会导致虚拟机无法正常运行,也可能存在环路风险。
(3) E6203P01版本VWAF安装完成之后没有授权,需要安装License server并导入授权到License server中后,方可下发授权给VWAF使用。请确保License server已安装完成。
(4) E6203P01版本适配CAS平台的高速硬盘,如果使用E6202版本镜像进行安装,不适配CAS平台默认的磁盘类型(高速硬盘),需要修改为IDE硬盘;
(5) 表1-1为不同型号的虚拟WAF对应的标配CPU、内存、存储,可按照客户实际需要选择安装具体型号的虚拟WAF,确定安装型号后,需要确保所安装在的虚拟化系统上对应资源足够使用;
(6) 表1-2为虚拟WAF的镜像文件信息。
表1-1 虚拟WAF硬件配置要求
虚拟WAF硬件配置要求表 |
||||
产品型号 |
标配CPU |
标配内存 |
标配存储 |
适配的虚拟化系统 |
W2000-V100-G2 |
6核 |
8G |
建议500GB及以上 |
CAS、VMware |
W2000-V200-G2 |
6核 |
8G |
建议500GB及以上 |
CAS、VMware |
W2000-V300-G2 |
6核 |
8G |
建议500GB及以上 |
CAS、VMware |
W2000-V400-G2 |
8核 |
8G |
建议500GB及以上 |
CAS、VMware |
W2000-V500-G2 |
16核 |
16G |
建议500GB及以上 |
CAS、VMware |
表1-2 虚拟WAF镜像文件信息
ESS6203P01镜像文件信息 |
|
版本号 |
md5 |
SecPathW2000G2-IMW310-E6203P01.iso |
64f1825243cd7c6d9ee5945a3ab5ce61 |
(1) 登录到CAS平台,上传ISO镜像文件,选择存储,点击上传文件。如下图所示:
图1-1 存储池
(2) 从本地选择需要上传的ISO镜像文件,并开始上传,以6203P01版本镜像文件为例。如下图所示:
图1-2 ISO文件信息
将文件拖放到虚线框内,显示文件名。点击开始上传。如下图所示:
图1-3 上传文件
上传完成后,关闭上传页面,在该存储池中可以查看到文件信息。如下图所示:
图1-4 上传的ISO信息
(3) 镜像文件上传完成后,点击新增虚拟机。如下图所示:
图1-5 新增虚拟机
(4) 填写虚拟机名称vwaf-E6203P01,操作系统选择Linux,版本选择Debian GUN/Linux 9(64位),CAStools自动升级选择为否,注意操作系统及版本配置,不一致会导致虚拟机运行异常。点击下一步。如下图所示:
图1-6 虚拟机基本配置
(5) 本文档以安装W2000-V300-G2型号的虚拟WAF为例,因此,根据表1-1,配置CPU为6核,内存为8G,存储为500G,网络配置根据CAS的实际情况进行配。如下图所示:
· 虚拟WAF的业务网络和管理网络必须分开。
· 安装虚拟WAF时,只能加入一块网卡并将其作为管理网,待虚拟WAF安装完毕和升级到最新版本之后,再新增业务网卡(新增网卡后需重启虚拟WAF使其生效),否则可能会导致网络环路,进而引发广播风暴。
· 虚拟WAF安装完成后不能删除管理网的网卡,否则即使添加了新的网卡也将无法管理此虚拟WAF。
图1-7 虚拟WAF基本配置
从E6203P01版本开始,适配默认磁盘的总线类型高速硬盘,无需修改磁盘的总线类型。如果使用E6202版本镜像进行安装,不适配CAS平台默认的磁盘类型(高速硬盘),需要修改为IDE硬盘。
(6) 配置好磁盘类型后,配置光驱,点击光驱右侧的搜索按钮,选择上传的ISO镜像文件,并点击确定。如下图所示:
图1-8 点击光驱的搜索按钮
图1-9 选择ISO镜像文件
(7) 配置完成CPU、内存、网络、磁盘、光驱后,点击完成。如下图所示:
图1-10 虚拟机配置
(8) 启动虚拟机,选中新建的虚拟机vwaf-E6203P01,点击启动。如下图所示:
图1-11 启动虚拟机
点击控制台。如下图所示:
图1-12 打开控制台
(9) 出现安装界面,按Tab键。如下图所示:
图1-13 安装界面
(10) 出现下面的界面,按回车键。如下图所示:
图1-14 安装界面
(11) 左下角光标闪动十秒左右后进入刻盘界面,提示输入密码,输入刻盘密码h3c++,回车。如下图所示:
图1-15 提示输入密码
(12) 系统开始安装,一共五步,不需要手动参与,与CAS硬件资源有关,时间约10分钟左右,若虚拟机性能较好,安装时间较快,此处时间仅供参考,请耐心等待。如下图所示:
图1-16 系统安装
(13) 安装完成之后,出现提示“Congratulations! H3COS installed on /dev/sda successfully!”,按回车键,虚拟WAF将自动重启。如下图所示:
图1-17 安装完成提示
(14) 虚拟WAF重启系统。如下图所示。
图1-18 重启虚拟WAF
(15) 请耐心等待,系统正在启动,当出现H3C login时,表明系统安装完成。如下图所示:
图1-19 控制台登录界面
(16) 使用账号密码admin/admin登录WAF,根据CAS平台的实际网络配置,来配置虚拟WAF的管理IP地址。命令如下:
bridge –A –v MngtBridge –f 183.1.15.202 –m 255.255.255.0 –n y #注意,上述配置WAF管理IP地址命令一定要加-n y 否则配置的管理地址无法访问。 |
图1-20 配置管理IP
配置默认路由,命令如下:
route –A –i 0.0.0.0 –m 0.0.0.0 –g 183.1.15.1 |
图1-21 配置默认路由
(17) 如果命令输入错误,导致IP或者路由配置错误,可以通过命令修改,查询bridge和route的命令格式,只需要输入bridge或者route回车即可,具体命令可参考CLI命令手册。如下图所示:
图1-22 bridge命令帮助
图1-23 route命令帮助
(18) 使用浏览器(推荐使用Firefox56+及其以上版本浏览器)访问WAF的Web管理页面,管理地址为https://183.1.15.202,需要添加安全例外。如下图所示:
图1-24 访问Web管理页面
(19) 使用账号密码admin/admin登录系统,登录方式选择普通。如下图所示:
图1-25 登录虚拟WAF
E6203P01版本,首次使用admin/admin登录需要强制修改默认密码,后续涉及的登录操作,需使用更改后的密码进行登录。
(20) 登录系统后,查看产品型号:H3C SecPath W2000-V300-G2,CPU、内存及日志空间使用情况,软件版本等信息。此时VWAF并没有授权,无法使用,需要使用Licens server下发授权给VWAF后方可使用如下图所示:
图1-26 查看H3C Web应用防火墙系统信息
E6203P01以上版本,默认不含有授权,需要先向License Server注册授权,才能显示产品型号以及其它功能选项。若使用E6202版本镜像,则包含90天临时授权,从E6202升级到E6203P01之后版本,临时授权保留,直至用完后使用License server 授权。
(21) 添加业务网卡,业务网络和管理网络必须是分开的,因此需要添加业务网卡,选中新增的虚拟机vwaf-E6203P01,点击修改虚拟机。如下图所示:
图1-27 点击修改虚拟机
(22) 点击“增加硬件”,增加一块高速网卡,作为业务网卡,点击下一步。如下图所示:
图1-28 选择硬件类型
(23) 网卡类型选择高速网卡,虚拟交换机选择实际连接业务网络的虚拟交换机,策略模板根据实际业务进行选择,这里选择默认的default,点击完成。如下图所示:
图1-29 选择虚拟交换机和网络策略
(24) 添加业务网卡后,需要对虚拟WAF进行重启,可以通过CAS虚拟机管理进行重启,也可以从虚拟WAF的控制台进行重启,这里演示从控制台重启虚拟WAF,点击控制台。如下图所示:
图1-30 打开控制台
(25) 使用账号密码登录虚拟WAF的控制台,使用下面的命令对虚拟WAF进行重启。
reboot -R |
图1-31 重启虚拟WAF
(26) 重启后,使用账号密码登录Web系统,登录方式选择普通登录。(参考19步),查看网络管理-网络接口-Port接口,可以看到新增的port1接口,说明新增业务口识别成功,后续可以在控制台或WebUI进行业务网络的配置,具体可参照《H3C SecPath Web应用防火墙 WEB配置指导》等资料。
图1-32 查看Port接口
在虚拟WAF上,一个网桥下只允许加入一个port接口,如需多个port接口,请新增网桥。否则可能会导致网络环路,进而引发广播风暴。
此次安装平台以VMware ESXi 6.5为例。
(1) 登录VMware ESXi 6.5,点击存储下的datastore1,点击数据存储浏览器,进行镜像文件的上传。如下图所示:
图1-33 VMware ESXi数据存储
(2) 点击创建目录,用来保存镜像文件。如下图所示:
图1-34 创建目录vwaf-E6203P01
图1-35 创建目录完成
(3) 虚拟WAF镜像文件版本为E6203P01,具体信息如下图所示:
图1-36 镜像文件信息
(4) 选中创建的文件夹,点击上载,选择镜像文件后,点击打开。如下图所示:
图1-37 选择镜像文件
(5) 点击打开后,文件开始上传,上传完成后,查看文件信息。如下图所示:
图1-38 上传成功
(6) 点击虚拟机,然后点击创建/注册虚拟机。如下图所示:
图1-39 创建虚拟机
(7) 选择创建类型,这里选择创建新虚拟机,然后点击下一页。如下图所示:
图1-40 选择创建类型
(8) 选择名称和客户机操作系统,这里取名为vwaf-E6203P01,操作系统选择Linux,版本选择Debian GNU/Linux 9(64位),注意操作系统及版本配置,不一致会导致虚拟机运行异常。如下图所示:
图1-41 虚拟机名称及操作系统版本
(9) 选择存储,根据实际进行选择,这里选择datastore1。如下图所示:
图1-42 选择存储
(10) 虚拟机自定义设置,以产品型号W2000-V300-G2为例,根据表1-1的配置要求,选择CPU个数为6,内存为8GB,硬盘为500G,网络适配器根据实际进行选择。如下图所示:
· 虚拟WAF的业务网络和管理网络必须分开。
· 安装虚拟WAF时,只能加入一块网卡并将其作为管理网,待虚拟WAF安装完毕和升级到最新版本之后,再新增业务网卡(新增网卡后需重启虚拟WAF使其生效),否则可能会导致网络环路,进而引发广播风暴。
· 虚拟WAF安装完成后不能删除管理网的网卡,否则即使添加了新的网卡也将无法管理此虚拟WAF。
图1-43 虚拟机配置
(11) 配置完虚拟机,需要添加CD/DVD驱动器,连接镜像文件,点击添加其它设备,选择CD/DVD驱动器。如下图所示:
图1-44 添加CD/DVD驱动器
(12) 在新的CD/DVD驱动器中,选择数据存储ISO文件。如下图所示:
图1-45 选择数据存储ISO文件
(13) 选择刚才上传到vwaf-E6203P01目录中的镜像文件。如下图所示;
图1-46 选择镜像文件
图1-47 自定义设置完成
(14) 查看虚拟机配置信息,确认无误后,点击完成。如下图所示:
图1-48 虚拟机配置信息
(15) 找到虚拟机vwaf-E6203P01,点击打开电源,进行虚拟WAF的安装。如下图所示:
图1-49 打开虚拟机电源
(16) 在弹出的控制台中出现安装界面,按Tab键。如下图所示:
图1-50 安装界面
(17) 出现下面的界面时,按回车键。如下图所示:
图1-51 安装界面
(18) 左下角光标闪动十秒左右后进入刻盘界面,提示输入密码,输入刻盘密码h3c++,回车。如下图所示:
图1-52 提示输入刻盘密码
(19) 系统开始安装,一共五步,不需要手动参与,与VMware硬件资源有关,时间约10分钟左右,若虚拟机性能较好,安装时间较快,此处时间仅供参考,请耐心等待。。如下图所示:
图1-53 安装系统
(20) 安装完成之后,出现提示“Congratulations! H3COS installed on /dev/sda successfully!”,按回车键,虚拟WAF将自动重启。如下图所示:
图1-54 安装完成
(21) 虚拟WAF重启。如下图所示:
图1-55 虚拟WAF自动重启
(22) 请耐心等待,系统正在启动,当出现H3C login时,表明系统安装完成。如下图所示:
图1-56 虚拟WAF重启完成
(23) 使用账号密码admin/admin,登录虚拟WAF,根据VMware ESXi平台的实际网络配置,配置虚拟WAF的管理IP地址。命令如下:
bridge –A –v MngtBridge –f 183.1.8.111 –m 255.255.255.0 –n y #注意,上述配置WAF管理IP地址命令一定要加-n y 否则配置的管理地址无法访问。 |
图1-57 配置管理IP
配置默认路由,命令如下:
route –A –i 0.0.0.0 –m 0.0.0.0 –g 183.1.8.1 |
图1-58 配置默认路由
(24) 如果命令输入错误,导致IP或者路由配置错误,可以通过命令修改,想要查询bridge和route的命令格式,只需要输入bridge或者route回车即可,具体命令可参考CLI命令手册。
图1-59 bridge命令帮助
图1-60 route命令帮助
(25) 使用浏览器(以Firefox为例)访问WAF的Web管理界面,管理地址为https://183.1.8.111,需要添加安全例外。如下图所示:
图1-61 访问Web管理界面
(26) 使用账号密码admin/admin登录系统,登录方式选择普通。如下图所示:
图1-62 登录虚拟WAF
E6203P01版本,首次使用admin/admin登录需要强制修改默认密码,后续涉及的登录操作,需使用更改后的密码进行登录。
(27) 登录系统后,查看产品型号:H3C SecPath W2000-V300-G2,CPU、内存及日志空间使用情况,软件版本等信息。此时VWAF并没有授权,无法使用,需要使用Licens server下发授权给VWAF后方可使用。如下图所示:
图1-63 查看系统信息
E6203P01以上版本,默认不含有授权,需要先向License Server注册授权,才能显示产品型号以及其它功能选项。若使用E6202版本镜像,则包含90天临时授权,从E6202升级到E6203P01之后版本,临时授权保留,直至用完后使用License server 授权。
(28) 添加业务网卡。业务网络和管理网络必须是分开的,因此需要添加业务网卡。选中虚拟WAF
点击编辑。如下图所示:
图1-64 编辑虚拟机配置
(29) 点击添加其它设备,选择网络适配器。如下图所示:
图1-65 添加网络适配器
(30) 根据VMvware ESXi的实际网络配置,添加新的网络适配器。如下图所示:
图1-66 网络适配器配置
(31) 添加网络适配器后,需要对虚拟WAF进行重启,可以通过虚拟机管理进行重启,也可以从虚拟WAF的控制台进行重启,这里演示从控制台重启虚拟WAF,点击控制台,打开浏览器控制台。如下图所示:
(32) 使用账号密码admin/admin登录虚拟WAF的控制台,使用下面的命令对虚拟WAF进行重启。
reboot -R |
图1-67 重启虚拟WAF
(33) 重启后,使用账号密码登录Web系统,登录方式选择普通。(参考27步),查看网络管理-网络接口-Port接口,可以看到新增的port1接口,说明新增业务口识别成功,后续可以在控制台或WebUI进行业务网络的配置,具体可参照《H3C SecPath Web应用防火墙 WEB配置指导》等资料。
图1-68 查看Port接口
在虚拟WAF上,一个网桥下只允许加入一个port接口,如需多个port接口,请新增网桥。否则可能会导致网络环路,进而引发广播风暴。