安恒明御WAF防火墙基本部署配置指南课件

安恒明御

WAF防火墙基本部署配置指南技术创新

变革未来安恒明御

WAF防火墙基本部署配置指南技术创新变革未2明御WAF基本部署配置面板、接口及指示灯说明设备默认配置信息管理口IP配置常见的部署模式WAF快速部署2明御WAF基本部署配置面板、接口及指示灯说明31、面板、接口及指示灯说明端口说明Console口：即串口，产品初始化配置使用Admin口：即管理口，远程管理使用HA口：双机热备使用Seckey：加密狗USB接口一个桥内两个接口，没有进出口之分31、面板、接口及指示灯说明端口说明4指示灯说明4指示灯说明5指示灯说明指示灯颜色含义PWR灯常亮电源工作正常不亮电源工作异常HDD灯/LOG灯闪烁硬盘工作正常

不亮硬盘工作异常LINK灯不亮网口工作在10Mbps速率亮绿色网口工作在100Mbps速率亮橙色网口工作在1000Mbps速率ACT灯不亮网口工作在物理直通或断线状态5指示灯说明指示灯颜色含义PWR灯常亮电源工作正常不亮电源工62、设备默认配置信息默认管理口IP：00默认WEB管理地址：00隐藏WEB管理地址：53（防止前台管理IP时可以使用）默认前台超级管理员账户：admin默认前台超级管理员账户密码：adminadmin默认串口波特率：115200默认串口账户：admin默认串口密码：admin62、设备默认配置信息默认管理口IP：773、管理IP配置方式一：配置管理口IP地址（console口配置）Step1:使用Putty\secureCRT\超级终端等工具登陆串口Step2:输入默认用户名密码admin/admin773、管理IP配置方式一：配置管理口IP地址（conso88方式一：配置管理口IP地址（console口配置）Step3:输入数字“2”，进入下一步Step4:输入“1”，进入下一步88方式一：配置管理口IP地址（console口配置）St99方式一：配置管理口IP地址（console口配置）Step5:输入IP地址、子网掩码、网关、DNS99方式一：配置管理口IP地址（console口配置）St1010方式二：配置管理口IP地址（web界面配置）Step1:用网线直连Admin口，将电脑网卡地址设置为/24网段任意地址即可（排除00）Step2:登00默认用户名/密码admin/adminadmin1010方式二：配置管理口IP地址（web界面配置）Ste1111方式二：配置管理口IP地址（web界面配置）Step3:进入【系统】【系统配置】，如下图所示：1111方式二：配置管理口IP地址（web界面配置）Ste1212注意：默认WAF对管理者IP是有限制的，只允许私有IP地址（192.168.*.*,10.*.*.*,172.16.8.*）可以管理WAF设备。如果WAF管理口IP地址设置为公网地址则需要关闭“管理者IP限制”1212注意：默认WAF对管理者IP是有限制的，只允许私有I13134、常见的部署模式透明代理模式反向代理模式（代理模式、牵引模式）旁路监控模式桥模式路由模式13134、常见的部署模式透明代理模式14透明代理模式透明代理部署模式支持透明串接部署方式。串接在用户网络中，可实现即插即用，无需用户更改网络设备与服务器配置。部署简单易用，应用于大部分用户网络中。部署特点：不需要改变用户的网络结构，对于用户而言是透明的。安全防护能力强故障恢复快，可支持Bypass14透明代理模式透明代理部署模式支持透明串接部署方式。串接在15反向代理模式——代理模式部署特点：可旁路部署，对于用户网络不透明，防护能力强故障恢复时间慢，不支持Bypass，恢复时需要重新将域名或地址映射到原服务器。此模式应用于复杂环境中，如设备无法直接串接的环境。访问时需要先访问明御WAF配置的业务口地址。支持VRRP主备15反向代理模式——代理模式部署特点：可旁路部署，对于用户网16反向代理模式——代理模式工作原理：用户访问的是WAF的前端链路地址，WAF在接收到流量之后通过后端链路地址去访问真实的服务器，因此服务器看到客户端地址为WAF的后端链路地址16反向代理模式——代理模式工作原理：用户访问的是WAF的前17反向代理模式——代理模式接入链路：WAF采用反向代理接入环境中一般用一个业务口就可以，也可以采用两个接口，如果采用一个接口，那么前端和后端选择同一个接口链路地址（前端）：前端链路地址是客户访问的地址，通过访问前端地址可以访问到服务器业务，前端地址可以和保护站点的IP地址在同一个网段也可以在不同的网段，只要前端地址和保护站点地址的路由可通就可以链路地址（后端）：WAF在接受到客户端的流量之后，WAF充当客户端通过后端地址去访问真实的服务器地址，因此服务器看到的客户端地址为WAF的后端地址。WAF的后端地址可以和前端地址是同一个IP地址也可以是相同网段的不同地址。链路模式：需要选择代理模式或者牵引模式17反向代理模式——代理模式接入链路：WAF采用反向代理接入18反向代理模式——代理模式客户端IP地址透明：有两个选项透明和不透明，但是一般WAF反向代理模式下都要选择不透明。客户端IP地址如果选择透明，服务器就可以看到真实的客户端IP地址，那么服务器在返回流量时就会通过服务器网关直接返回给客户端而不返回给WAF，这样WAF代理就会失败，为了保证WAF代理成功必须在交换机上面做策略路由将服务器返回的流量牵引到WAF，这样WAF代理才能成功，因为选择透明比较麻烦因此正常情况下面一般都是选择不透明客户端IP地址如果选择不透明，服务器看到的客户端IP地址为WAF的后端地址，这样服务器返回的流量就会返回给WAFX-Forwarded-For字段名称，如果选择客户端IP地址不透明，为了告警日志能够显示证真实的客户端IP地址，必须要启用X-Forwarded-For18反向代理模式——代理模式客户端IP地址透明：有两个选项透19反向代理模式——VRRPVRRP——主备模式简介WAF在反向代理模式下可以支持主备模式，正常情况下只有主机工作，备机不工作，当主机业务口出现问题时，备机自动切换为主机进行工作19反向代理模式——VRRPVRRP——主备模式简介WAF在20反向代理模式——VRRPVRRP——主备模式配置说明启⽤用VRRP功能，vrrp是按保护站点来的，启⽤用了vrrp，这个保护站点上的前端链路上的ip就会变成虚ip，同时⽀支持bond。通过配置=>保护站点=>VRRP⽀支持来配置VRRP功能。状态：是否开启VRRP功能；本机⾓角⾊色：选择本机⾓角⾊色，主机或备机；虚拟路由ID：同⼀一个VRRP组的ID相同20反向代理模式——VRRPVRRP——主备模式配置说明启⽤21反向代理模式——VRRPVRRP——主备模式工作细节VRRP的⼼心跳包通信接⼝：管理⼝VRRP的监控端⼝口：业务⼝必要条件：反代模式，主备机开启VRRP功能，主备机管理⼝互通主备机正常⼯工作时主机业务⼝被分配虚ip，备机业务⼝⽆无ip，业务流量通过主机转发；主机业务⼝down掉时备机业务⼝被分配虚ip，业务流量通过备机转发；主机业务⼝由down转换到up时主机业务⼝被分配ip，备机业务⼝⽆无ip，业务流量通过主机转发；主机管理⼝down时主备机都有虚ip，业务流量通过主机转发。21反向代理模式——VRRPVRRP——主备模式工作细节VR22反向代理模式——牵引模式部署特点：可旁路部署，对于用户网络不透明。故障恢复时间慢，不支持Bypass，恢复时需要删除路由器策略路由配置。此模式应用于复杂环境中，如设备无法直接串接的环境。访问时仍访问网站服务器。支持VRRP22反向代理模式——牵引模式部署特点：可旁路部署，对于用户网23反向代理模式——牵引模式用户访问的是服务器的真实的IP地址，需要在交换机上面将用户访问服务器的http流量通过策略路由的方式牵引到WAF，策略路由的下一跳地址为WAF的前端地址，WAF在接受到地址之后通过后端地址去请求真实的服务器。注意：做策略路由牵引流量时不需要将服务器IP的所有流量都牵引过来，只需要针对IP+PORT的方式做策略路由，因为其他协议的流量WAF是不会处理的23反向代理模式——牵引模式用户访问的是服务器的真实的IP地24旁路监控模式采用旁路监听模式，在交换机做服务器端口镜像，将流量复制一份到明御WAF上，部署时不影响在线业务。部署特点：明御WAF在旁路监听模式部署下只能用于流量分析或日志审计，不能实现防护。24旁路监控模式采用旁路监听模式，在交换机做服务器端口镜像，25桥模式部署特点：桥模式是真正意义上的透明，不会更改数据包任何内容，比如源MAC、源端口、TCP序列号、HTTP协议版本等内容，所以不会存在代理模式中的长短连接问题、健康检查、端口安全、协议不兼容等问题。桥模式不跟踪TCP会话，可支持路由不对称环境。桥模式下部分功能不支持，比如缓存压缩、智能防护、自学习建模、日志审计等功能。对服务器响应包的内容不检测。防护能力不如透