WAF实施方案文档格式.docx

WAF实施方案文档格式.docx

《WAF实施方案文档格式.docx》由会员分享，可在线阅读，更多相关《WAF实施方案文档格式.docx（16页珍藏版）》请在冰豆网上搜索。

复审人

复审日期

扩散范围

福建省海峡信息技术有限公司及福建省经济信息中心

版本控制

版本编号

修订人

修订日期

修订说明

发布版本

文档说明

本文档是福建省海峡信息技术有限公司（以下简称海峡信息）为福建省经济信息中心提供的福建省政务外网云计算平台工程项目实施方案，仅供相关项目实施参考使用。

版权说明

本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属福建省海峡信息技术有限公司所有，受到有关产权及版权法保护。

任何个人、机构未经福建省海峡信息技术有限公司的书面授权许可，不得以任何方式复制或引用本文件的任何片段。

1.网络拓扑

2.安装环境需求

项目

需求

配置/备注

Web应用防护抗攻击系统

两台

机柜空间

4U以上空间

标准机柜，并配有层板、机柜螺丝，2U设备

电源

4个电源插座

220标准交流电源，每台两个电源

网络跳线

6根

把ETH6与ETH7加入VLAN网桥，ETH6口接IPS，ETH7口接核心交换机，如需外接日志服务器，ETH0口接设备管理交换机，每台需3根网线

IP

两个对接IP

两个管理IP

两台WEB应用防火墙的网桥各需要一个各自出口线路与核心交换机同网段的IP作为透明代理使用，每台一个。

如需外接日志服务器，ETH0口需要一个IP作为与日志服务器通信使用，ETH0口IP需与日志服务器IP同网段，每台一个。

3.技术规划

在数据中心的两条出口线路上分别部署一台Web应用防火墙，使用VLAN技术把ETH6与ETH7划到一个VLAN进行透明接入，接口不分内外，可以任意接。

具体接入位置可放在IPS与核心交换机之间。

两台设备同时工作，当其中一台WEB应用防火墙出现故障，根据华为防火墙网关检测功能，会自动切换到另一条线路，任意一条线路只要有数据经过，WEB应用防火墙就会进行检测防御。

两台WEB应用防火墙的网桥各需要一个各自出口线路与核心交换机同网段的IP作为透明代理使用。

WEB应用防火墙采用B/S模式进行管理，通过多种机制的分析检测，能够有效的阻断攻击，保证Web应用合法流量的正常传输。

备注：

透明代理的原理是WEB应用防火墙会过滤访问被保护WEB服务器的数据，对于合法的访问请求，以透明代理的方式向WEB服务器发起新的HTTP会话，然后再将服务器返回的数据发送回请求端（即外网）。

因此，WEB应用防火墙上配置的IP地址需要能和被保护服务器直接通讯，并且能够将数据路由发送回请求端（即外网）。

这样就需要让WEB防火墙配置的IP地址与相邻的内网路由设备使用同一网段的IP。

4.实施步骤

了解需保护的网站域名、网站服务器的IP、端口

需给两台WAF各自分配一个IP作为透明代理使用，这个IP需跟防火墙与核心交换机直连同网段，并能访问内部WEB服务器

WAF本地有500G的硬盘可提供存放日志，如需日志外传，可采用自带的日志服务接收软件，也提供标准的syslog接口，端口514，需各自分配一个与日志服务器同网段的IP

了解WEB服务器的架构，有无采用虚拟主机（同一IP同一端口上有多个域名）、负载均衡

有无HTTPS网站，有的话需要网站的证书和密钥（.crt和.key）

了解WEB是否使用IIS，（IIS的日志，在部署WAF后，需装插件才能看到客户端的真实IP;

如果是APACHE的话，只需更改配置文件）

确认在WAF接入之前，网络异常是否能正常切换

根据用户环境适当调整检测策略

测试设备是否正常工作

5.配置步骤

5.1.基本配置

出厂情况下，所有网口都属于MngtVlan,在PC上打开浏览器，访问可以看到WAF的主界面

创建一个vlan，并给新的vlan配置IP、掩码（每个VLAN可配置多个IP），并把端口加入到vlan，更改接口后，可能导致管理VLAN的MAC变更，如发现PING不通需用arp-d清空下ARP缓存

配置路由，如果是默认路由在目标地址和子网掩码中都输入，如果是静态路由，根据实际网段填写；

本地访问控制，如有IP需要管理HD-WAF,需添加本地访问控制规则，输入IP并选择管理方式，如SSH、WEB等

5.2.服务器配置

网站参数

名称

域名

服务器IP

端口

备注

网站1

网站2

80

网站3

虚拟主机

网站4

网站5

1、网站1配置：

添加普通服务器：

［服务器管理］→［普通服务器管理］，增加

根据“网站1”的相关参数，完成服务器配置，（注：

服务器名称不能为中文）如下图：

2、网站2配置：

根据“网站2”的相关参数，完成服务器配置，（注：

3、“网站3、4、5（80）”配置：

添加虚拟主机服务器：

［服务器管理］→［虚拟主机服务器管理］，增加

“根据网站3、4、5”的相关参数，完成服务器的基本配置，（注：

点下一步进入站点配置，通过“增加”按扭，分别添加网站3、4、5的域名和别名，添加好站点域名后，如下图：

4、“网站5（443）”配置：

“根据网站5”的相关参数，完成服务器的基本配置，（注：

5.3.WEB安全配置

注：

WEB安全配置分为安全配置和站点安全两个步骤，需先添加安全配置文件，再做站点安全配置；

安全配置文件是指调用WAF的相关防护规则，各网站可以使用同一个安全配置文件，也可使用不同的配置文件；

1、安全配置：

添加安全配置文件，各网站可以使用同一个配置文件，也可使用不同的配置文件：

［WEB安全］→［安全配置］，增加

输入配置文件名称（不能为中文），选择防护点，如下图：

2、站点安全：

配置各网站的安全防护：

［WEB安全］→［站点安全］，选择编辑各站点，如下图：

选择“配置文件”、“检查方向”、是否记录日志、是否启用对该网站的防护，如下图：

选择网站的检查点，如下图：

以同样的方法完成其它网站的站点安全配置

3、上传“网站5”的SSL网站证书

［WEB安全］→［站点安全］，选中网站5https站点

点“上传SSL密钥”，选择密钥文件（.key），并上传

点“上传SSL证书，选择证书文件（.ert），并上传

5.4.日志配置

［日志系统］→［日志配置］，启用本地日志，如下图

5.5.IIS插件的安装

部署HD-WAF后，IIS服务器需要借助ISAPI插件来完成对X-Forwarded-For的远程真实客户端的IP提取，否则IIS日志中记录的都是HD-WAF的IP。

同时无须对IIS日志属性做修改。

安装过程如下：

1、从HD-WAF上下载X-Forwarded-For插件

ip/

2、点击站点属性，可对全局站点设置，也可对单个站点设置。

本例针对全局设置为主，点击ISAPI筛选器选项卡（图-1）

图-1

3、添加ISPAI（图-2），筛选器名称自定义，DLL文件必须在英文文件夹下

图-2

4、确定，重启IIS服务器（图-3）

图-3

5、此时可以看到ISAPI的插件已经生效（图-4），即可访问网站并让IIS生成访问日志。

图-4

5.6.APACHE日志配置的修改

APACHE的服务器无需安装插件，只要更改下日志的配置，加入X-Forwarder-For，即可识别到客户端的真实IP。

1、打开配置文件，找到日志配置模块，如下图：

<

IfModulelog_config_module>

LogFormat"

%h%l%u%t\"

%r\"

%>

s%b\"

%{Referer}i\"

\"

%{User-Agent}i\"

"

combined

s%b"

common

<

IfModulelogio_module>

%I%O"

combinedio

/IfModule>

CustomLoglogs/access_logcommon

2、修改为：

%{X-Forwarder-For}i%l%u%t\"

hd_waf

SetEnvIfX-Forwarder-For"

^.*\..*\..*\..*"

wafCustomLoglogs/access_logcombinedenv=!

wafCustomLoglogs/access_loghd_wafenv=waf

5.7.测试方法

HD-WAF部署完成后，可做一些简单的测试，判断HD-WAF是否已生效。

TELNET受防护的网站，Telnet网站后会有下图的提示信息，显示WAF的安全提示，说明WAF已开始生效。

查看HD-WAF上的访问日志，如果HD-WAF启用了记录访问日志选项，成功部署后，访问网站，访问日志中可查到相关信息，如下图：

尝试简单的攻击，在ASP网页，类似的URL后面加入and1=1等注入语句，如果设置了阻断，将提示下面信息：

如果没有设置阻断，可查看攻击日志，会有报警信息：