waf实施方案.docVIP

福建省政务外网云计算平台工程 WAF实施方案 　　　　　　　　　　　　　　　　　 2011年12月 文档信息 文档 福建省政务外网云计算平台工程——实施方案 文档编号 保密级别 商密 制作日期 作者 HYG 版本号 1.2 复审人 复审日期 扩散范围 版本控制 版本编号 修订人 修订日期 修订说明 发布版本 文档说明 本文档是有限公司（以下简称），仅供。 本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属有限公司所有，受到有关产权及版权法保护。任何个人、机构未经有限公司的书面授权许可，不得以任何方式复制或引用本文件的任何片 1. 网络拓扑 1 2. 安装环境需求 1 3. 技术规划 1 4. 实施步骤 2 5. 配置步骤 2 5.1. 基本配置 2 5.2. 服务器配置 3 5.3. WEB安全配置 7 5.4. 日志配置 10 5.5. IIS插件的安装 11 5.6. APACHE日志配置的修改 12 5.7. 测试方法 13 网络拓扑 安装环境需求 项目 需求 配置/备注 Web应用防护抗攻击系统 两台 机柜空间 4U以上空间 标准机柜，并配有层板、机柜螺丝，2U设备 电源 4个电源插座 220标准交流电源，每台两个电源 网络跳线 6根 把ETH6与ETH7加入VLAN网桥，ETH6口接IPS，ETH7口接核心交换机，如需外接日志服务器，ETH0口接设备管理交换机，每台需3根网线 IP 两个对接IP 两个管理IP 两台WEB应用防火墙的网桥各需要一个各自出口线路与核心交换机同网段的IP作为透明代理使用，每台一个。如需外接日志服务器，ETH0口需要一个IP作为与日志服务器通信使用，ETH0口IP需与日志服务器IP同网段，每台一个。 技术规划 在数据中心的两条出口线路上分别部署一台Web应用防火墙，使用VLAN技术把ETH6与ETH7划到一个VLAN进行透明接入，接口不分内外，可以任意接。具体接入位置可放在IPS与核心交换机之间。两台设备同时工作，当其中一台WEB应用防火墙出现故障，根据华为防火墙网关检测功能，会自动切换到另一条线路，任意一条线路只要有数据经过，WEB应用防火墙就会进行检测防御。两台WEB应用防火墙的网桥各需要一个各自出口线路与核心交换机同网段的IP作为透明代理使用。WEB应用防火墙采用B/S模式进行管理，通过多种机制的分析检测，能够有效的阻断攻击，保证Web应用合法流量的正常传输。 备注：透明代理的原理是WEB应用防火墙会过滤访问被保护WEB服务器的数据，对于合法的访问请求，以透明代理的方式向WEB服务器发起新的HTTP会话，然后再将服务器返回的数据发送回请求端（即外网）。因此，WEB应用防火墙上配置的IP地址需要能和被保护服务器直接通讯，并且能够将数据路由发送回请求端（即外网）。这样就需要让WEB防火墙配置的IP地址与相邻的内网路由设备使用同一网段的IP。 实施步骤 了解需保护的网站域名、网站服务器的 IP 、端口 需给 两台WAF各自分配一个 IP作为透明代理使用 ，这个 IP 需跟防火墙与核心交换机直连同网段，并能访问内部WEB服务器 WAF本地有500G的硬盘可提供存放日志，如需日志外传，可采用自带的日志服务接收软件，也提供标准的syslog接口，端口514，需各自分配一个与日志服务器同网段的IP 了解 WEB 服务器的架构 ， 有无采用虚拟主机 ( 同一 IP 同一端口上有多个域名 ) 、负载均衡 有无 HTTPS 网站，有的话需要网站的证书和密钥（ .crt 和 .key ） 了解 WEB 是否使用 IIS ， （ IIS 的日志 ， 在部署 WAF 后 ， 需装插件才能看到客户端的真实 IP ; 如果是 APACHE 的话，只需更改配置文件） 确认在WAF接入之前，网络异常是否能正常切换 根据用户环境适当调整检测策略 测试设备是否正常工作 配置步骤 基本配置 出厂情况下，所有网口都属于MngtVlan, 在PC上打开浏览器，访问 00 可以看到WAF的主界面 创建一个vlan，并给新的vlan配置IP、掩码（每个VLAN可配置多个IP），并把端口加入到vlan， 更改接口后，可能导致管理VLAN的MAC变更，如发现PING不通需用arp -d清空下ARP缓存 配置路由，如果是默认路由在目标地址和子网掩码中都输入，如果是静态路由，根据实际网段填写； 本地访问控制，如有IP需要管理HD-WAF,需添加本地访问控制规则，输入IP并选择管理方式 ，如SSH、WEB等 服务器配置 网站参数 名称 域名 服务器IP 端口 备注 网站1 95 80 网站2 97 97 80 网站3 96 80 虚