imperva_waf实施方案_2015.docx

IMPERVA WAF实施方案2015年7月15日项目概述互联网上攻击种类日益繁多，当WEB应用越来越为丰富的同时，WEB应用也逐渐成为主要攻击目标，SQL注入、跨站脚本、爬虫、网页篡改和挂马、目录遍历等应用层攻击手段威胁着网页应用的安全。方案设计设备简介Imperva SecureSphere?硬件平台提供了卓越的性能和高可靠性，适合于各种网络环境。硬件平台提供Fail Open的网卡，可在出现故障时快速实现故障切换。设备还提供带外管理接口，提高了管理的安全性。前面板的各种提示信息也方便用户快速了解设备运行状态。用户可以根据需要监测的数据库流量来选择合适的硬件网关。此次项目选择的是X2500安全网关：规格X2500容错性两个热拔插硬盘、电源和风扇吞吐量500Mbps等待时间亚毫秒接口6x10/100/1000Mbps（最多4个光纤接口）接口类型铜线或光纤SX最大网络段数(2)桥接器；(5)代理，非在线故障直通（仅供桥接）2个bypass网段硬盘2个500GB热拔插硬盘内存4GB串行端口RJ45连接器USB端口2SSL加速可选光纤通道、LOM或HSM可选电源双电源400W交流电源100-240V，50-60Hz典型耗电量190W典型热输出650BTU／小时外形2U尺寸17.4x20.1x3.46英寸443x512x88毫米重量50.44磅（22.9公斤）工作环境温度：5°-40°C相对湿度：20%-90%存放环境温度：0°-70°C相对湿度：20%-90%安全机构认证CE/FCC/cTUVus/VCCIWEB安全WEB安全防护使用2台X2500硬件型号的网关。两台WAF X2500均采用透明桥模式部署。根据产生的告警，保护网站安全。透明桥模式部署具有容易部署，对现有网络拓扑影响小，设备支持软硬件BYPASS，即使当硬件损坏或关闭电源时，也不影响业务。等一系列优点。部署环境下图采用透明桥的部署方式进行部署：拓扑说明：采用透明桥接的方式对WEB网站进行防护；Imperva X2500接在网页应用服务器之前；采用独立的管理接口，可以放置在任何的管理网段，例如带外管理维护网段；X2500可检测和保护500M 网页流量；系统可无缝结合企业现有的安全事件管理平台；网络环境准备为了保证实施可以顺畅进行，在实施开始之前，需要用户进行以下配合工作：请确认设备上架位置和空间，为标准2U设备，冗余电源设计，保证有两路电源。请告知要保护的Web服务器的台数以及IP地址、服务端口信息；X2500_1IP地址和掩码备注受保护的Web服务器1IP：Port:是否启用SSL：受保护的Web服务器2IP：Port:是否启用SSL：受保护的Web服务器5IP：Port:是否启用SSL：X2500_2IP地址和掩码备注受保护的Web服务器1IP：Port:是否启用SSL：受保护的Web服务器2IP：Port:是否启用SSL：受保护的Web服务器3IP：Port:是否启用SSL：如果要保护的Web服务有HTTPS服务需要保护，请提供Server的PEM格式的公钥和私钥，或者PKCS12格式的证书；如果采用旁路监控部署方式，在连接Web服务器的交换机上做端口镜像（镜像的目的端口要是RJ45端口），将Web服务器的进出流量通过端口镜像复制出来，接Imperva的WAF的监控端口。如果有负载均衡设备，可以在负载均衡设备之前的交换机上面做镜像，把访问整个服务器组的流量镜像到Imperva的WAF上。镜像端口的流量需要双向流量。请分配一个管理的IP地址给SecureSphere，用于远程的管理，远程管理要用到8083（HTTPS）和22（SSH）端口。该地址需要可以访问互联网权限，用于定期更新最新的特征代码信息。设备名称机柜位置系统版本设备型号办公网段管理地址运行模式SecureSphere10.5X2500IP：MASK：GW：DNS：SecureSphere10.5X2500IP：MASK：GW：DNS：如果上面分配的IP地址有访问限制，需要开放以下权限：源地址目的地址协议/端口动作备注管理员SecureSphere管理服务器地址808322Ntp端口Snmp端口允许允许管理员通过SSH和Https管理端口管理SecureSphere设备如果需要设备时钟和企业NTP服务器时钟同步，需要提供以下信息：区域ntp服务器IP地址实施人员安排甲方人员：角色姓名电话职责说明备注乙方人员：角色姓名电话职责说明备注项目实施人员焦远本次项目中，担任技术实施人员，负责项目具体实施；厂商工程师：角色姓名电话职责说明备注项目顾问在本次项目中，担任技术负责，负责项目总体规划、项目实施，技术支持实施计划序号实施内容内容描述实施时间实施人员实施日期备注1设备部署规划设备放置