H3C SecPath W2000-G[AK]系列Web应用防火墙典型配置举例(E6711 E6712 E6713)-6W108

05-反向代理双机主备模式部署配置举例

1 简介

2 配置前提

3 WEB应用防火墙反向代理模式双机主备部署配置举例

1 简介

本文档介绍了Web应用防火墙反向代理模式双机主备部署的配置举例。

Web应用防火墙的高可用性可以解决因Web应用防火墙出现的单点故障问题，可以在一台设备出现故障时，另一台设备接管完全的访问流量，保证业务始终处于正常运行，极大的减少设备故障时业务中断时间。

2 配置前提

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

3 WEB应用防火墙反向代理模式双机主备部署配置举例

3.1 组网需求

设备在出厂时，默认所有接口都是属于vlan1的access口，用户可以按实际需求修改接口的类型。

如图所示，Host A可以访问到Web应用防火墙的业务地址，Web应用防火墙可以访问到Web Server服务器。现在要求Host A通过访问Web应用防火墙的代理地址实现对Web服务器的应用访问，并在主应用防火墙出现故障时可以切换到备设备上。

· 双机冗余模式要求2台Web应用防火墙的设备型号和软件版本完全相同，如有插卡，需要2台设备插卡型号一致。

· 双机冗余模式需要两台设备（除管理口、HA口等）配置一致，建议两台设备（除管理口和HA口）配置一致下进行双机组网，或建议对主设备进行功能配置，另一台设备为出厂配置下配置管理口和HA口，然后进行双机组网，主备协商完成之后，将主设备配置通过高可用性中“同步”按钮，将配置手动同步给备机，保证两台设备基本功能配置一致。

· 在将主机强制切换到备机时，需要检查备机业务口均为UP状态。

图1 Web应用防火墙反向代理模式双机主备部署配置举例组网图

3.2 使用版本

本举例是在系统版本：ESS6712上进行配置和验证的，并针对后续版本中的修改更新了部分截图、说明。

3.3 配置步骤

3.3.1 部署模式配置

登录主Web应用防火墙：启动IE/Firefox浏览器，在地址栏内使用https访问管理口IP，即可进入Web网管登录页面。输入用户名“admin”、密码“admin”，点击<登录>按钮即可进入Web网管页面并进行相关操作。

推荐使用IE10+及Firefox56+及其以上版本的浏览器。

登录主应用防火墙后点击左侧菜单：系统配置-侦测模式。

图2 H3C WAF侦测模式配置图-监控模式选择

在侦测模式配置页面中，设备默认工作模式为透明模式，修改设备工作模式为反向代理模式，首先勾选反向代理模式前面的选择框，然后点击应用，并在页面右上角点击保存配置。之后需要重启设备以便使模式生效。

设备重启后回到这个配置页面，此时反向代理模式前面的选择框是有勾选状态。

图3 H3C WAF侦测模式配置图-反向代理选择

此时点击反向代理模式后面的配置按钮进入反向代理配置界面。

图4 反向代理配置界面

在配置界面中首先需要配置的是反向代理的业务接口，可以在页面上部反向代理接口处选择指定的接口，以组网图1为例，我们在这里选择的是GE0/1接口，选择后点击应用。

图5 反向代理接口配置图

接口选择完继续添加需要代理的Web服务器，在接口下方的服务器设置项点击添加按钮。

图6 反向代理服务器配置界面

在服务器添加配置页中，我们要设置用于代理的IP地址、子网掩码和代理端口，服务器IP地址端口为真实Web服务器地址和端口，填写完成后点击应用按钮完成代理服务器添加。添加完成后如图：此时172.0.1.11为代理地址，170.0.1.102为真实Web服务器。

图7 反向代理服务器配置完成图

备应用防火墙部署模式的配置，同样参考上述步骤。

1、 R6713版本开始，反代支持对HTTPS站点的配置及防护；

2、若需要对HTTPS站点配置反向代理，需要在“代理监听端口”和“服务器IP地址：端口”配置项最后勾选“HTTPS”

3、 WAF默认HTTPS管理端口为443，在进行HTTPS反向代理配置时需注意，HTTPS的代理监听端口不能和WAF管理HTTPS的端口一样，否则会导致反代功能失效。一种方式是将HTTPS代理监听端口设置为非443端口，另一种方式是先将WAF管理HTTPS端口改为非443端口后再配置反代HTTPS监听端口为443。

3.3.2 交换机配置

以组网图1为例，在交换机上建立3个Vlan，分别是101.1.8.0/24、172.0.1.0/24、170.0.1.0/24，并配置三个Vlan的网关。以下交换机配置命令均以H3C交换机为例。

system-view

vlan 101

port gigabitethernet 1/0/6

quit

interface vlan-interface 101

ip address 101.1.8.1 24

quit

vlan 172

port gigabitethernet 1/0/7

port gigabitethernet 1/0/9

quit

interface vlan-interface 172

ip address 172.0.1.1 24

quit

vlan 170

port gigabitethernet 1/0/8

quit

interface vlan-interface 170

ip address 170.0.1.1 24

quit

3.3.3 网络配置

在主应用防火墙上，点击左侧菜单：网络配置-网络接口。

图8 网络接口界面

名称为veth1的接口，是WAF本身的一个虚接口，反向代理模式下，配置的代理IP都会关联到该虚接口上。

此时可以观察到，veth1接口被配置了代理接口地址，工作模式为路由模式，此时代表反向代理模式配置成功。

此时需要确定HA接口，本例我们选择GE0/2接口，点击编辑GE0/2接口，我们将GE0/2接口改为路由模式，并配置设备互联地址：1.1.1.2/24，点击应用。

图9 网络接口配置页面

备应用防火墙的网络配置，同样参考上述步骤。但不同的一点是，备应用防火墙HA口的IP，需要设置为和主应用防火墙HA口IP在同一网段，本例中，我们可设置为1.1.1.3/24。

3.3.4 路由配置

在主应用防火墙上，进行路由配置。

由于系统仅有直连路由和添加的静态路由，因此需要在路由表中添加一条默认路由，使WAF上的业务流量都从反代业务口进出。

以组网图1为例，反代模式的代理IP为172.0.1.11，反代业务口所连的交换机的网关为172.0.1.1，因此添加一条路由，勾选“添加为默认网关”，网关为172.0.1.1。

图10 WAF路由配置

备应用防火墙的路由配置，同样参考上述步骤。

· 以上部署模式、网络和路由配置，需在主、备应用防火墙上提前配置完成。并需要注意配置的其它接口和管理地址不能与业务代理地址在相同网段。

· 若配置完反向代理接口地址后，ping不通该地址，可以在“网络接口”页面点击veth1接口，查看其管理访问中的ping方式是否开启，若没有开启，勾选该方式并点击应用，之后再尝试是否能够ping通。

3.3.5 双机配置

1. 配置主Web应用防火墙

开始配置主Web防火墙：点击左侧网络配置-高可用性，进入高可用性选项后，在顶部选择高可用性标签进入高可用性配置页；

分别配置：

(1) 选定启用HA选项；

(2) 设置HA模式，我们这里选择主备项；

(3) HA接口配置GE0/2；

(4) HA优先级根据主备情况配置，现在配置主机，优先级设置为200，数值低的为备机，数值高的为主机；

(5) 配置对等IP（即HA对端设备IP），我们这里配置1.1.1.3；

(6) 监控接口，选择正常的业务接口，一旦被监控接口出现故障，就触发设备切换操作。

由于主、备设备不同步“监控接口”部分的配置，建议部署时，主、备设备此处配置一致。

以上配置完成后点击应用。

图11 HA高可用性配置界面

图12 HA高可用性配置界面

2. 配置备Web防火墙

开始配置备Web防火墙，点击左侧网络配置-高可用性，进入高可用性选项后，在顶部选择高可用性标签进入高可用性配置页；

分别配置：

(1) 选定启用HA选项；

(2) 设置HA模式，我们这里选择主备项；

(3) HA接口配置GE0/2；

(4) HA优先级根据主备情况配置，现在配置备机，优先级设置为100，数值低的为备机，数值高的为主机；

(5) 配置对等IP（即HA对端设备IP），我们这里配置1.1.1.2；

(6) 监控接口，选择正常的业务接口，一旦被监控接口出现故障，就触发设备切换操作。

由于主、备设备不同步“监控接口”部分的配置，建议部署时，主、备设备此处配置一致。

以上配置完成后点击应用。

图13 HA高可用性配置界面

图14 HA高可用性配置界面

以上配置完成后即可完成HA的配置，此时2台设备已经工作在主备模式状况下。

表1 HA配置参数说明

功能	说明
启用HA	启用双机
HA模式	主备模式
HA状态	Master/Backup，主机点击同步即可将配置同步到备机
Failover状态	故障切换状态，主机点击设置Failover即可切换为备机
HA接口	选择两个设备之间互连的心跳线接口
HA优先级	HA优先级根据主备情况配置，若两台机器均可正常工作，初始化后则数值低的为备机，数值高的为主机

保持间隔	两台设备之间发送VRRP报文的时间间隔
对等IP	对方设备的HA地址
跟踪超时	假设设置为3秒，意义为若跟踪主机在3秒内都无法连通，系统计算链路的权重值低于设定值时，VRRP才认为主设备的链路出现故障，由从设备来接替主设备的工作
设备切换频率临界值	与跟踪超时、跟踪主机配合使用
跟踪主机IP地址	可设置三个跟踪主机，且可分别设置加权系数
监控接口	系统监控接口的连接状态，主机监控接口Down掉导致接口的权重值低于备机时，VRRP才认为主设备的接口出现故障，由从设备来接替主设备的工作
启用先占模式	若不启用先占模式，主机故障会切换到备机，主机即使恢复也不会切换回来；若启用先占模式，设定先占延时时间，主机恢复正常时间超过先占延时时间，流量则会被切换回来

HA切换条件如下：

· HA接口：设定心跳间隔，如果从设备在超过3个心跳间隔后依然没有收到主设备的VRRP报文，则认为主设备已经无法正常工作，从设备会自动切换为主设备。

· 手动切换：主机点击“设置Failover”即可切换为备机，再点击“取消Failover”则可恢复为主机（主设备启用了先占模式，且HA优先级较高）。

· 跟踪主机：设定监控主机来监控主设备连接的各个链路是否畅通，设定监控主机并为其设定不同的加权系数、权重值。当某链路故障，且该链接权重大于临界值时，主备机会比较当前存活主机个数，若主设备存活主机个数小于备机，此时认为主设备的链路出现故障，由从设备来接替主设备的工作。

· 监控接口：设定监控接口来监控主设备各个接口的工作状态，设定监控接口并为其设定不同的加权系数、权重值。当监控接口Down掉导致接口的权重值降低超过一定的限值时，VRRP才认为主设备的接口出现故障，由从设备来接替主设备的工作。

优先级：failover>跟踪主机>监控接口

1、如果需要使用跟踪主机功能，需注意：主备设备上与跟踪主机IP可通的接口需为同样名称的接口且该接口的模式需一致。比如，跟踪主机IP为10.0.0.1，则主备WAF上与该IP可通的应为同一个接口如都是接口GE0/3，且主备上GE0/3的模式应一致如都是路由口、或都是透明口（透明口所属vlan的IP地址与跟踪主机可通）。否则，可能会导致主备同步后跟踪主机触发主备切换功能不可用。

2、反代双机下，如果设置跟踪主机，设备上与跟踪主机可通的IP不能是反代的代理IP，否则会导致通过跟踪主机触发主备切换不可用。