[指南]waf实施方案.docVIP

福建省政务外网云计算平台工程 WAF实施方案 　　　　　　　　　　　　　　　　　 2011年12月 文档信息 文档名称 福建省政务外网云计算平台工程——实施方案 文档编号 保密级别 商密 制作日期 2011-12-17 作者 HYG 版本号 V1.2 复审人 复审日期 扩散范围 福建省海峡信息技术有限公司及福建省经济信息中心 版本控制 版本编号 修订人 修订日期 修订说明 发布版本 文档说明 本文档是福建省海峡信息技术有限公司（以下简称海峡信息）为福建省经济信息中心提供的福建省政务外网云计算平台工程项目实施方案，仅供相关项目实施参考使用。 版权说明 本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属福建省海峡信息技术有限公司所有，受到有关产权及版权法保护。任何个人、机构未经福建省海峡信息技术有限公司的书面授权许可，不得以任何方式复制或引用本文件的任何片段。 目录 TOC \o 1-3 \h \z \u HYPERLINK \l _Toc308525901 1. 网络拓扑 PAGEREF _Toc308525901 \h 1 HYPERLINK \l _Toc308525902 2. 安装环境需求 PAGEREF _Toc308525902 \h 1 HYPERLINK \l _Toc308525903 3. 技术规划 PAGEREF _Toc308525903 \h 1 HYPERLINK \l _Toc308525904 4. 实施步骤 PAGEREF _Toc308525904 \h 2 HYPERLINK \l _Toc308525905 5. 配置步骤 PAGEREF _Toc308525905 \h 2 HYPERLINK \l _Toc308525906 5.1. 基本配置 PAGEREF _Toc308525906 \h 2 HYPERLINK \l _Toc308525907 5.2. 服务器配置 PAGEREF _Toc308525907 \h 3 HYPERLINK \l _Toc308525908 5.3. WEB安全配置 PAGEREF _Toc308525908 \h 7 HYPERLINK \l _Toc308525909 5.4. 日志配置 PAGEREF _Toc308525909 \h 10 HYPERLINK \l _Toc308525910 5.5. IIS插件的安装 PAGEREF _Toc308525910 \h 11 HYPERLINK \l _Toc308525911 5.6. APACHE日志配置的修改 PAGEREF _Toc308525911 \h 12 HYPERLINK \l _Toc308525912 5.7. 测试方法 PAGEREF _Toc308525912 \h 13 网络拓扑 安装环境需求 项目 需求 配置/备注 Web应用防护抗攻击系统 两台 机柜空间 4U以上空间 标准机柜，并配有层板、机柜螺丝，2U设备 电源 4个电源插座 220标准交流电源，每台两个电源 网络跳线 6根 把ETH6与ETH7加入VLAN网桥，ETH6口接IPS，ETH7口接核心交换机，如需外接日志服务器，ETH0口接设备管理交换机，每台需3根网线 IP 两个对接IP 两个管理IP 两台WEB应用防火墙的网桥各需要一个各自出口线路与核心交换机同网段的IP作为透明代理使用，每台一个。如需外接日志服务器，ETH0口需要一个IP作为与日志服务器通信使用，ETH0口IP需与日志服务器IP同网段，每台一个。 技术规划 在数据中心的两条出口线路上分别部署一台Web应用防火墙，使用VLAN技术把ETH6与ETH7划到一个VLAN进行透明接入，接口不分内外，可以任意接。具体接入位置可放在IPS与核心交换机之间。两台设备同时工作，当其中一台WEB应用防火墙出现故障，根据华为防火墙网关检测功能，会自动切换到另一条线路，任意一条线路只要有数据经过，WEB应用防火墙就会进行检测防御。两台WEB应用防火墙的网桥各需要一个各自出口线路与核心交换机同网段的IP作为透明代理使用。WEB应用防火墙采用B/S模式进行管理，通过多种机制的分析检测，能够有效的阻断攻击，保证Web应用合法流量的正常传输。 备注：透明代理的原理是WEB应用防火墙会过滤访问被保护WEB服务器的数据，对于合法的访问请求，以透明代理的方式向WEB服务器发起新的HTTP会话，然后再将服务器返回的数据发送回请求端（即外网）。因此，WEB应用防火墙上配置的IP地址需要能和被保护服务器直接通讯，并且能够将数据路由发送回请求端（即外网）。这样就需要让WEB防火墙配置的