安恒明御WAF防火墻基本部署配置指南課件

《安恒明御WAF防火墻基本部署配置指南課件》由會(huì)員分享，可在線閱讀，更多相關(guān)《安恒明御WAF防火墻基本部署配置指南課件（28頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級(jí),#,8/20/2020,#,安恒明御,WAF,防火墻基本部署配置指南,技術(shù)創(chuàng)新,變革未來(lái),安恒明御WAF防火墻基本部署配置指南技術(shù)創(chuàng)新 變革未,2,明御,WAF,基本部署配置,面板、接口及指示燈說(shuō)明,設(shè)備默認(rèn)配置信息,管理口,IP,配置,常見(jiàn)的部署模式,WAF,快速部署,2明御WAF基本部署配置面板、接口

2、及指示燈說(shuō)明,3,1,、面板、接口及指示燈說(shuō)明,端口說(shuō)明,Console,口：即串口，產(chǎn)品初始化配置使用,Admin,口：即管理口，遠(yuǎn)程管理使用,HA,口：雙機(jī)熱備使用,Seckey,：加密狗,USB,接口,一個(gè)橋內(nèi)兩個(gè)接口，沒(méi)有進(jìn)出口之分,31、面板、接口及指示燈說(shuō)明端口說(shuō)明,4,指示燈說(shuō)明,4指示燈說(shuō)明,5,指示燈說(shuō)明,指示燈,顏色,含義,PWR,燈,常亮,電源工作正常,不亮,電源工作異常,HDD,燈,/LOG,燈,閃爍,硬盤(pán)工作正常,不亮,硬盤(pán)工作異常,LINK,燈,不亮,網(wǎng)口工作在,10Mbps,速率,亮綠色,網(wǎng)口工作在,100Mbps,速率,亮橙色,網(wǎng)口工作在,1000Mbps,速率

3、,ACT,燈,不亮,網(wǎng)口工作在物理直通或斷線狀態(tài),5指示燈說(shuō)明指示燈顏色含義PWR燈常亮電源工作正常不亮電源工,6,2,、設(shè)備默認(rèn)配置信息,默認(rèn)管理口,IP,：,192.168.1.100,默認(rèn),WEB,管理地址：,https:/192.168.1.100,隱藏,WEB,管理地址：,10.255.254.253,（防止前臺(tái)管理,IP,時(shí)可以使用）,默認(rèn)前臺(tái)超級(jí)管理員賬戶：,admin,默認(rèn)前臺(tái)超級(jí)管理員賬戶密碼：,adminadmin,默認(rèn)串口波特率：,115200,默認(rèn)串口賬戶：,admin,默認(rèn)串口密碼：,admin,62、設(shè)備默認(rèn)配置信息默認(rèn)管理口IP：192.168.1.1,7,7,3

4、,、管理,IP,配置,方式一：配置管理口,IP,地址（,console,口配置）,Step 1:,使用,PuttysecureCRT,超級(jí)終端等工具登陸串口,Step 2:,輸入默認(rèn)用戶名密碼,admin/admin,773、管理IP配置方式一：配置管理口IP地址（conso,8,8,方式一：配置管理口,IP,地址（,console,口配置）,Step 3:,輸入數(shù)字“,2,”，進(jìn)入下一步,Step 4:,輸入“,1,”，進(jìn)入下一步,88方式一：配置管理口IP地址（console口配置）St,9,9,方式一：配置管理口,IP,地址（,console,口配置）,Step 5:,輸入,IP,地址、

5、子網(wǎng)掩碼、網(wǎng)關(guān)、,DNS,99方式一：配置管理口IP地址（console口配置）St,10,10,方式二：配置管理口,IP,地址（,web,界面配置）,Step 1,:,用網(wǎng)線直連,Admin,口，將電腦網(wǎng)卡地址設(shè)置為,192.168.1.0/24,網(wǎng)段任意地址即可（排除,192.168.1.100,）,Step 2,:,登,https:/192.168.1.100,默認(rèn)用戶名,/,密碼,admin/adminadmin,1010方式二：配置管理口IP地址（web界面配置）Ste,11,11,方式二：配置管理口,IP,地址（,web,界面配置）,Step 3:,進(jìn)入,【,系統(tǒng),】,【,系統(tǒng)配置

6、,】,，如下圖所示：,1111方式二：配置管理口IP地址（web界面配置）Ste,12,12,注意：,默認(rèn),WAF,對(duì)管理者,IP,是有限制的，只允許私有,IP,地址（,192.168.*.*,10.*.*.*,172.16.8.,*）可以管理,WAF,設(shè)備。,如果,WAF,管理口,IP,地址設(shè)置為公網(wǎng)地址則需要關(guān)閉“管理者,IP,限制”,1212注意：默認(rèn)WAF對(duì)管理者IP是有限制的，只允許私有I,13,13,4,、常見(jiàn)的部署模式,透明代理模式,反向代理模式（代理模式、牽引模式）,旁路監(jiān)控模式,橋模式,路由模式,13134、常見(jiàn)的部署模式透明代理模式,14,透明代理模式,透明代理部署模式支持

7、透明串接部署方式。串接在用戶網(wǎng)絡(luò)中，可實(shí)現(xiàn)即插即用，無(wú)需用戶更改網(wǎng)絡(luò)設(shè)備與服務(wù)器配置。部署簡(jiǎn)單易用，應(yīng)用于大部分用戶網(wǎng)絡(luò)中。,部署特點(diǎn)：,不需要改變用戶的網(wǎng)絡(luò)結(jié)構(gòu)，對(duì)于用戶而言是透明的。,安全防護(hù)能力強(qiáng),故障恢復(fù)快，可支持,Bypass,14透明代理模式透明代理部署模式支持透明串接部署方式。串接在,15,反向代理模式,代理模式,部署特點(diǎn)：,可旁路部署，對(duì)于用戶網(wǎng)絡(luò)不透明，防護(hù)能力強(qiáng),故障恢復(fù)時(shí)間慢，不支持,Bypass,，恢復(fù)時(shí)需要重新將域名或地址映射到原服務(wù)器。,此模式應(yīng)用于復(fù)雜環(huán)境中，如設(shè)備無(wú)法直接串接的環(huán)境,。,訪問(wèn)時(shí)需要先訪問(wèn)明御,WAF,配置的業(yè)務(wù)口地址,。,支持,VRRP,主備,1

8、5反向代理模式代理模式部署特點(diǎn)：可旁路部署，對(duì)于用戶網(wǎng),16,反向代理模式,代理模式,工作原理：,用戶訪問(wèn)的是,WAF,的前端鏈路地址，,WAF,在接收到流量之后通過(guò)后端鏈路地址去訪問(wèn)真實(shí)的服務(wù)器，因此服務(wù)器看到客戶端地址為,WAF,的后端鏈路地址,16反向代理模式代理模式工作原理：用戶訪問(wèn)的是WAF的前,17,反向代理模式,代理模式,接入鏈路：,WAF,采用反向代理接入環(huán)境中一般用一個(gè)業(yè)務(wù)口就可以，也可以采用兩個(gè)接口，如果采用一個(gè)接口，那么前端和后端選擇同一個(gè)接口,鏈路地址（前端）：前端鏈路地址是客戶訪問(wèn)的地址，通過(guò)訪問(wèn)前端地址可以訪問(wèn)到服務(wù)器業(yè)務(wù)，前端地址可以和保護(hù)站點(diǎn)的,IP,地址在同一

9、個(gè)網(wǎng)段也可以在不同的網(wǎng)段，只要前端地址和保護(hù)站點(diǎn)地址的路由可通就可以,鏈路地址（后端）：,WAF,在接受到客戶端的流量之后，,WAF,充當(dāng)客戶端通過(guò)后端地址去訪問(wèn)真實(shí)的服務(wù)器地址，因此服務(wù)器看到的客戶端地址為,WAF,的后端地址。,WAF,的后端地址可以和前端地址是同一個(gè),IP,地址也可以是相同網(wǎng)段的不同地址。,鏈路模式：需要選擇代理模式或者牽引模式,17反向代理模式代理模式接入鏈路：WAF采用反向代理接入,18,反向代理模式,代理模式,客戶端,IP,地址透明：有兩個(gè)選項(xiàng)透明和不透明，,但是一般,WAF,反向代理模式下都要選擇不透明。,客戶端,IP,地址如果選擇透明，服務(wù)器就可以看到真實(shí)的客戶

10、端,IP,地址，那么服務(wù)器在返回流量時(shí)就會(huì)通過(guò)服務(wù)器網(wǎng)關(guān)直接返回給客戶端而不返回給,WAF,，這樣,WAF,代理就會(huì)失敗，為了保證,WAF,代理成功必須在交換機(jī)上面做策略路由將服務(wù)器返回的流量牽引到,WAF,，這樣,WAF,代理才能成功，,因?yàn)檫x擇透明比較麻煩因此正常情況下面一般都是選擇不透明,客戶端,IP,地址如果選擇不透明，服務(wù)器看到的客戶端,IP,地址為,WAF,的后端地址，這樣服務(wù)器返回的流量就會(huì)返回給,WAF,X-Forwarded-For,字段名稱，如果選擇客戶端,IP,地址不透明，為了告警日志能夠顯示證真實(shí)的客戶端,IP,地址，必須要啟用,X-Forwarded-For,18反向

11、代理模式代理模式客戶端IP地址透明：有兩個(gè)選項(xiàng)透,19,反向代理模式,VRRP,VRRP,主備模式簡(jiǎn)介,WAF,在反向代理模式下可以支持主備模式，正常情況下只有主機(jī)工作，備機(jī)不工作，當(dāng)主機(jī)業(yè)務(wù)口出現(xiàn)問(wèn)題時(shí)，備機(jī)自動(dòng)切換為主機(jī)進(jìn)行工作,19反向代理模式VRRPVRRP主備模式簡(jiǎn)介WAF在,20,反向代理模式,VRRP,VRRP,主備模式配置說(shuō)明,啟用,VRRP,功能，,vrrp,是按保護(hù)站點(diǎn)來(lái)的，啟用了,vrrp,，這個(gè)保護(hù)站點(diǎn)上的前端鏈路上的,ip,就會(huì)變成虛,ip,，同時(shí)支持,bond,。,通過(guò) 配置,=,保護(hù)站點(diǎn),=VRRP,支持 來(lái)配置,VRRP,功能。,狀態(tài)：是否開(kāi)啟,VRRP,功能；

12、,本機(jī)角色：選擇本機(jī)角色，主機(jī)或備機(jī)；,虛擬路由,ID,：同一個(gè),VRRP,組的,ID,相同,20反向代理模式VRRPVRRP主備模式配置說(shuō)明啟,21,反向代理模式,VRRP,VRRP,主備模式工作細(xì)節(jié),VRRP,的心跳包通信接：管理,VRRP,的監(jiān)控端口：業(yè)務(wù),必要條件：反代模式，主備機(jī)開(kāi)啟,VRRP,功能，主備機(jī)管理互通,主備機(jī)正常工作時(shí),主機(jī)業(yè)務(wù)被分配虛,ip,，備機(jī)業(yè)務(wù)無(wú),ip,，業(yè)務(wù)流量通過(guò)主機(jī)轉(zhuǎn)發(fā)；,主機(jī)業(yè)務(wù),down,掉時(shí),備機(jī)業(yè)務(wù)被分配虛,ip,，業(yè)務(wù)流量通過(guò)備機(jī)轉(zhuǎn)發(fā)；,主機(jī)業(yè)務(wù)由,down,轉(zhuǎn)換到,up,時(shí),主機(jī)業(yè)務(wù)被分配,ip,，備機(jī)業(yè)務(wù)無(wú),ip,，業(yè)務(wù)流量通過(guò)主機(jī)轉(zhuǎn)發(fā)；,

13、主機(jī)管理,down,時(shí),主備機(jī)都有虛,ip,，業(yè)務(wù)流量通過(guò)主機(jī)轉(zhuǎn)發(fā)。,21反向代理模式VRRPVRRP主備模式工作細(xì)節(jié)VR,22,反向代理模式,牽引模式,部署特點(diǎn)：,可旁路部署，對(duì)于用戶網(wǎng)絡(luò)不透明,。,故障恢復(fù)時(shí)間慢，不支持,Bypass,，恢復(fù)時(shí)需要?jiǎng)h除路由器策略路由配置,。,此模式應(yīng)用于復(fù)雜環(huán)境中，如設(shè)備無(wú)法直接串接的環(huán)境,。,訪問(wèn)時(shí)仍訪問(wèn)網(wǎng)站服務(wù)器,。,支持,VRRP,22反向代理模式牽引模式部署特點(diǎn)：可旁路部署，對(duì)于用戶網(wǎng),23,反向代理模式,牽引模式,用戶訪問(wèn)的是服務(wù)器的真實(shí)的,IP,地址，需要在交換機(jī)上面將用戶訪問(wèn)服務(wù)器的,http,流量通過(guò)策略路由的方式牽引到,WAF,，策略路由

14、的下一跳地址為,WAF,的前端地址，,WAF,在接受到地址之后通過(guò)后端地址去請(qǐng)求真實(shí)的服務(wù)器。,注意：做策略路由牽引流量時(shí)不需要將服務(wù)器,IP,的所有流量都牽引過(guò)來(lái)，只需要針對(duì),IP+PORT,的方式做策略路由，因?yàn)槠渌麉f(xié)議的流量,WAF,是不會(huì)處理的,23反向代理模式牽引模式用戶訪問(wèn)的是服務(wù)器的真實(shí)的IP地,24,旁路監(jiān)控模式,采用旁路監(jiān)聽(tīng)模式，在交換機(jī)做服務(wù)器端口鏡像，將流量復(fù)制一份到明御,WAF,上，部署時(shí)不影響在線業(yè)務(wù)。,部署特點(diǎn)：,明御,WAF,在旁路監(jiān)聽(tīng)模式部署下只能用于流量分析或日志審計(jì)，不能實(shí)現(xiàn)防護(hù),。,24旁路監(jiān)控模式采用旁路監(jiān)聽(tīng)模式，在交換機(jī)做服務(wù)器端口鏡像，,25,橋模式

15、,部署特點(diǎn)：,橋模式是真正意義上的透明，不會(huì)更改數(shù)據(jù)包任何內(nèi)容，比如源,MAC,、源端口、,TCP,序列號(hào)、,HTTP,協(xié)議版本等內(nèi)容，所以不會(huì)存在代理模式中的長(zhǎng)短連接問(wèn)題、健康檢查、端口安全、協(xié)議不兼容等問(wèn)題。,橋模式不跟蹤,TCP,會(huì)話，可支持路由不對(duì)稱環(huán)境,。,橋模式下部分功能不支持，比如緩存壓縮、智能防護(hù)、自學(xué)習(xí)建模、日志審計(jì)等功能。,對(duì)服務(wù)器響應(yīng)包的內(nèi)容不檢測(cè)。,防護(hù)能力不如透明代理，可能會(huì)存在漏報(bào)現(xiàn)象,。,25橋模式部署特點(diǎn)：橋模式是真正意義上的透明，不會(huì)更改數(shù)據(jù)包,26,路由模式,部署特點(diǎn)：,路由模式（無(wú)冗余結(jié)構(gòu)）故障恢復(fù)慢，不支持,bypass,，恢復(fù)時(shí)需要重新修改靜態(tài)路由。,路由模式（冗余結(jié)構(gòu)）故障恢復(fù)速度快，恢復(fù)時(shí)不需要修改任何配置。,路由模式支持非對(duì)稱路由,。,26路由模式部署特點(diǎn)：路由模式（無(wú)冗余結(jié)構(gòu)）故障恢復(fù)慢，不支,27,5,、,WAF,快速部署,275、WAF快速部署,28,謝謝！,28謝謝！,