WAF防护二次流量经过防火墙的解决方案HillstoneNetworks.PDFVIP

WAF 防护--二次流量经过防火墙的 解决方案 Hillstone Networks Inc. 2016 年 2 月 1 日 1 / 7 内容提交人 审核人 更新内容 日期 张关武 陈天骄 V1 2016/2/1 目录 1 需求分析3 2 解决方案3 2.1 方案一3 2.1.1 配置方法4 2.1.2 地址信息4 2.1.3 WAF 配置5 2.1.4 HS 防火墙配置5 2.2 方案二6 3 建设效果7 2 / 7 1 需求分析 HS 防火墙作为出口网关，划分了用户区域和服务器区域。部署 WAF 设备对内网用户访问 HTTP 服务器做应用层的安全防护。WAF 性能有限不适合串行部署在用户的网络中 ，同时 为了对安全行为最大限度的管控，不适合旁路来部署。于是想到使用 HS 的设备对到服务器 的 HTTP 流量进行区分并引流到 WAF 设备 ，WAF 处理完再送回 HS 防火墙 ，再由防火墙 转到目标服务器。 2 解决方案 硬件平台 SG-6000-E1100 软件版本 SG6000-M-3-5.0R4P11 2.1 方案一 数据走向： （E0/4——E0/6 ）—— （E0/8——E0/7 ） E0/6 接口和 E0/8 接口配置可以互换 3 / 7 E0/1E0/6 WAF E0/2E0/8 E0/7 E0/4 WEB SERVER Client 2.1.1 配置方法 2.1.2 地址信息 WAF: E0/1 /24 ，E0/2 /24 HS 防火墙: E0/4 /24 ，E0/6 /24 ，E0/8 /24 ，E0/7 /24 WEB Server ： 00 Client 网段 ： /16 4 / 7 2.1.3 WAF 配置 增加到目标HTTP 服务器的下一跳为 HS 防火墙 E0/8 接口 IP 的路由;增加到访 问Client 端 IP 下一跳为 HS 防火墙 E0/6 接口 IP 的路由 2.1.4 HS 防火墙配置 A. 接口配置 新建 4 个四个三层安全 zone ，并关闭对应域的IP 欺骗防护 SG-6000(config)# zone trust1 SG-6000(config-zone-trust1)# no ad ip-spoofing SG-6000(config-zone-trust1)# zone trust2 SG-6000(config-zone-trust2)# zone trust3 SG-6000(config-zone-trust3)# no ad ip-spoofing SG-6000(config-zone-trust3)# zone trust4 B. E0/4 ，E0/6 ，E0/8 ，E0/7