waf部署教材拓扑汇总.pptVIP

WAF部署拓扑汇总 2009年9月 唐进元 tangjya@ 透明桥模式： Internet IP：/24 桥IP：/24 WAF 反向代理模式： Internet IP：/24 WAN口IP：01/26 LAN口IP：/24 WAF 服务器群 交换机 路由器 旁路模式： WAF 心跳线 WAF HA模式： 服务器群 核心交换机 交换机 HA 服务器群 核心交换机 负载均衡 集群模式： 交换机 HA WAF集群 防火墙 用户实际部署环境一： 说明：防火墙只开启了80 和21端口，所以使用两个进线在防火墙上进行端口映射，两条线分别有两个80 和两个21端口可以分别映射到相应的WEB访问和管理端口 防火墙 用户实际部署环境二： 说明：WAF地址与服务器地址是同一个网段情况： 1、都为外网； 2、都为内网，需要在防火墙上做nat WAF 防火墙 用户实际部署环境三： 说明： WAF设备为透明桥状态，没有添加保护服务，在网络出口防火墙和汇聚层交换机之间，只要是出入外网的流量都会经过WAF设备，在局域网中有一部分的主机IP是通过三层交换机自动分配的，这样有时就会出现自动分配IP的这部分主机，都不能访问外网的WEB网页，QQ MSN之类的通信软件，都能正常使用；手动设置IP的这部分主机都是正常的。把WAF设备撤下后，自动分配IP的这部分主机恢复正常 核心交换机 客户机 客户机 客户机 客户机 客户机 客户机 局域网 WAF 防火墙 用户实际部署环境四： 说明：该环境目前主要用于测试WEB加速功能，两台路由器之间使用v.35电缆连接，一头是DTE，一头是DCE，DCE端的路由器配置时钟频率，用该方式连接背对背传输带宽最大2M。 背对背 WAF 防火墙 用户实际部署环境五： 说明：该拓扑是两个三层交换与WAF的连线端口都是trunk口，三层交换上有多个vlan，服务器也处于不同的vlan。 三层交换 三层交换 WAF 防火墙 用户实际部署环境六： 说明：该环境主要是WEB服务采用vmware虚拟集群，在存储柜上存储和运行数据，在服务器上进行控制，能虚拟成千上百的web服务器 vmware虚拟集群存储柜 WAF 防火墙 用户实际部署环境七： 说明：该环境主要是WAF实现双网桥模式，相当于两个WAF在分别保护后面的两个服务器群。 DMZ区 三层交换 WAF 防火墙 用户实际部署环境八： 交换机 说明：该环境主要是在防火墙上实施了IP MAC 端口绑定，服务器群中的某一台服务器，被绑定上只有符合的IP MAC被允许外出访问，这时就需要在WAF也进行服务的MAC绑定，这样才能正常访问保护服务。 WAF 防火墙 交换机 说明：该环境主要是所保护服务器与WAF不在同一网段，但是网关都在防火墙上，这样就需要WAF配置一条WAN口的静态路由以保证从WAF的eth0进来的数据包能准确的发往eth1口。 交换机 用户实际部署环境九： 敬请补充！  O(∩_∩)O谢谢！