计算机网络安全技术与实施（旧） 2013国赛信息安全工具软件教程及视频 DCN_WAF实验配置.docx

网络技术专业教学资源库 国家高等职业教育网络技术专业教学资源库 计算机网络安全技术与实施 课程资源子库 网络安全相关工具软件使用介绍 神州数据WAF设备的配置介绍 本文介绍WAF的配置方式及一些经验，供大家学习交流 首先，说明一下WAF进入带外管理的方式，设备上的ETH2为带外口，管理地址为 帐号为admin密码admin123，登陆后界面如下： 现在我们来看一下配置WAF的一般思路： 配置网络——配置日志记录介质——配置策略——创建服务——应用防护策略 那么首先来看一下网络的配置 首先我们要明确一件事，就是WAF作为WEB服务器的防火墙，它是一定要串联在服务器集群前的，所以，就会有两种模式一种是透明模式，另一种为反向代理模式。透明模式是最常用的模式，所以我们重点来说。 网络的相关配置很简单，配置一个桥的IP即可，这个IP同样还可以用于远程管理登录。 下面说配置日志记录介质的问题，这个问题，以前是不用考虑的，但是神州数码的WAF系统更新为4.0以后这个配置问题才单独提出来的，其实这个配置非常简单，但是为什么单独提出来呢，因为WAF自身集成了一块500GB的硬盘，当我们要配置网页防篡改时，要在磁盘上做镜像备份，如果记录介质为内存的话，是无法开启网页防篡改的。 下面就是修改日志记录介质的页面，非常简单，只需要选中磁盘记录即可。 以上配置完成后，我们就要开始配置防护的相关策略，策略的配置流程如下：先建立总策略，对其命名，再进入各个细节防护策略进行相关配置 一般我们会配置策略中的基本攻击防护 然后是数据窃取防护，这个功能是用来过滤掉不能让访问者看到的关键数据的一个重要功能，当服务器返回一个带有需要保护数据的页面时，WAF会用XXX来代替数据。 实时关键字过滤，跟上一个道理差不多： 策略完成后，我们要创建服务，创建服务很简单，输入服务器的IP和需要保护的端口号即可。 应用防护策略，在服务里点击编辑，将之前做好的策略集选中应用即可。 以上步骤完成后，配置即结束。 额外的我们来说一下关于防DDOS攻击和网页防篡改的功能实现。 在防护选项里，我们可以看到这两种防护功能，先说DDOS，配置极其简单，输入服务器的IP地址及掩码即可 防护条件一般不更改，如果有需要，可以适当调整报文的每秒流量，防护网口我们需要选择外网口，而不是内网口。 那么我们再来说一下防篡改，同样的，也很简单，配置一个服务名称，输入服务器的IP和端口即可。 然后对这个防篡改服务进行初始化，一般默认参数即可以满足需求。 这样防篡改就完成了。