安恒明御WAF防火墙基本部署配置指南课件.pptx

1、安恒明御WAF防火墙基本部署配置指南技术创新 变革未来2明御WAF基本部署配置1.面板、接口及指示灯说明2.设备默认配置信息3.管理口IP配置4.常见的部署模式5.WAF快速部署31、面板、接口及指示灯说明端口说明Console口：即串口，产品初始化配置使用Admin口：即管理口，远程管理使用HA口：双机热备使用Seckey：加密狗USB接口一个桥内两个接口，没有进出口之分4指示灯说明5指示灯说明指示灯颜色含义PWR灯常亮电源工作正常不亮电源工作异常HDD灯/LOG灯闪烁硬盘工作正常 不亮硬盘工作异常LINK灯不亮网口工作在10Mbps速率亮绿色网口工作在100Mbps速率亮橙色网口工作在10

2、00Mbps速率ACT 灯不亮网口工作在物理直通或断线状态62、设备默认配置信息 默认管理口IP：192.168.1.100 默认WEB管理地址：https:/192.168.1.100 隐藏WEB管理地址： 10.255.254.253（防止前台管理IP时可以使用） 默认前台超级管理员账户：admin 默认前台超级管理员账户密码：adminadmin 默认串口波特率：115200 默认串口账户：admin 默认串口密码：admin773、管理IP配置方式一：配置管理口IP地址（ console口配置）Step 1:使用PuttysecureCRT超级终端等工具登陆串口Step 2:输入默认用

3、户名密码admin/admin88方式一：配置管理口IP地址（ console口配置）Step 3 :输入数字“2”，进入下一步Step 4 :输入“1”，进入下一步99方式一：配置管理口IP地址（ console口配置）Step 5 :输入IP地址、子网掩码、网关、DNS1010方式二：配置管理口IP地址（ web界面配置）Step 1:用网线直连Admin口，将电脑网卡地址设置为192.168.1.0/24网段任意地址即可（排除192.168.1.100）Step 2:登https:/192.168.1.100默认用户名/密码admin/adminadmin1111方式二：配置管理口IP地

4、址（ web界面配置）Step 3:进入【系统】【系统配置】，如下图所示：1212注意：默认WAF对管理者IP是有限制的，只允许私有IP地址（192.168.*.*,10.*.*.*,172.16.8.*）可以管理WAF设备。如果WAF管理口IP地址设置为公网地址则需要关闭“管理者IP限制”13134、常见的部署模式1. 透明代理模式2. 反向代理模式（代理模式、牵引模式）3. 旁路监控模式4. 桥模式5. 路由模式14透明代理模式透明代理部署模式支持透明串接部署方式。串接在用户网络中，可实现即插即用，无需用户更改网络设备与服务器配置。部署简单易用，应用于大部分用户网络中。部署特点：1. 不需

5、要改变用户的网络结构，对于用户而言是透明的。2. 安全防护能力强3. 故障恢复快，可支持Bypass15反向代理模式代理模式部署特点：1. 可旁路部署，对于用户网络不透明，防护能力强2. 故障恢复时间慢，不支持Bypass，恢复时需要重新将域名或地址映射到原服务器。3. 此模式应用于复杂环境中，如设备无法直接串接的环境。4. 访问时需要先访问明御WAF配置的业务口地址。5. 支持VRRP主备16反向代理模式代理模式工作原理：用户访问的是WAF的前端链路地址，WAF在接收到流量之后通过后端链路地址去访问真实的服务器，因此服务器看到客户端地址为WAF的后端链路地址17反向代理模式代理模式u接入链路

6、：WAF采用反向代理接入环境中一般用一个业务口就可以，也可以采用两个接口，如果采用一个接口，那么前端和后端选择同一个接口u链路地址（前端）：前端链路地址是客户访问的地址，通过访问前端地址可以访问到服务器业务，前端地址可以和保护站点的IP地址在同一个网段也可以在不同的网段，只要前端地址和保护站点地址的路由可通就可以u链路地址（后端）：WAF在接受到客户端的流量之后，WAF充当客户端通过后端地址去访问真实的服务器地址，因此服务器看到的客户端地址为WAF的后端地址。WAF的后端地址可以和前端地址是同一个IP地址也可以是相同网段的不同地址。u链路模式：需要选择代理模式或者牵引模式18反向代理模式代理模

7、式u客户端IP地址透明：有两个选项透明和不透明，但是一般WAF反向代理模式下都要选择不透明。1. 客户端IP地址如果选择透明，服务器就可以看到真实的客户端IP地址，那么服务器在返回流量时就会通过服务器网关直接返回给客户端而不返回给WAF，这样WAF代理就会失败，为了保证WAF代理成功必须在交换机上面做策略路由将服务器返回的流量牵引到WAF，这样WAF代理才能成功，因为选择透明比较麻烦因此正常情况下面一般都是选择不透明2. 客户端IP地址如果选择不透明，服务器看到的客户端IP地址为WAF的后端地址，这样服务器返回的流量就会返回给WAFuX-Forwarded-For字段名称，如果选择客户端IP地

8、址不透明，为了告警日志能够显示证真实的客户端IP地址，必须要启用X-Forwarded-For19反向代理模式VRRPVRRP主备模式简介WAF在反向代理模式下可以支持主备模式，正常情况下只有主机工作，备机不工作，当主机业务口出现问题时，备机自动切换为主机进行工作20反向代理模式VRRPVRRP主备模式配置说明启用VRRP功能，vrrp是按保护站点来的，启用了vrrp，这个保护站点上的前端链路上的ip就会变成虚ip，同时支持bond。通过 配置=保护站点=VRRP支持 来配置VRRP功能。状态：是否开启VRRP功能；本机角色：选择本机角色，主机或备机；虚拟路由ID：同一个VRRP组的ID相同2

9、1反向代理模式VRRPVRRP主备模式工作细节uVRRP的心跳包通信接：管理u VRRP的监控端口：业务必要条件：反代模式，主备机开启VRRP功能，主备机管理互通主备机正常工作时主机业务被分配虚ip，备机业务无ip，业务流量通过主机转发；l 主机业务down掉时备机业务被分配虚ip，业务流量通过备机转发；l 主机业务由down转换到up时主机业务被分配ip，备机业务无ip，业务流量通过主机转发；l主机管理down时主备机都有虚ip，业务流量通过主机转发。22反向代理模式牵引模式部署特点：1. 可旁路部署，对于用户网络不透明。2. 故障恢复时间慢，不支持Bypass，恢复时需要删除路由器策略路由

10、配置。3. 此模式应用于复杂环境中，如设备无法直接串接的环境。4. 访问时仍访问网站服务器。5. 支持VRRP23反向代理模式牵引模式用户访问的是服务器的真实的IP地址，需要在交换机上面将用户访问服务器的http流量通过策略路由的方式牵引到WAF，策略路由的下一跳地址为WAF的前端地址，WAF在接受到地址之后通过后端地址去请求真实的服务器。注意：做策略路由牵引流量时不需要将服务器IP的所有流量都牵引过来，只需要针对IP+PORT的方式做策略路由，因为其他协议的流量WAF是不会处理的24旁路监控模式采用旁路监听模式，在交换机做服务器端口镜像，将流量复制一份到明御WAF上，部署时不影响在线业务。部

11、署特点：1. 明御WAF在旁路监听模式部署下只能用于流量分析或日志审计，不能实现防护。25桥模式部署特点：1. 桥模式是真正意义上的透明，不会更改数据包任何内容，比如源MAC、源端口、TCP序列号、HTTP协议版本等内容，所以不会存在代理模式中的长短连接问题、健康检查、端口安全、协议不兼容等问题。2. 桥模式不跟踪TCP会话，可支持路由不对称环境。3. 桥模式下部分功能不支持，比如缓存压缩、智能防护、自学习建模、日志审计等功能。4. 对服务器响应包的内容不检测。5. 防护能力不如透明代理，可能会存在漏报现象。26路由模式部署特点：1. 路由模式（无冗余结构）故障恢复慢，不支持bypass，恢复时需要重新修改静态路由。2. 路由模式（冗余结构）故障恢复速度快，恢复时不需要修改任何配置。3. 路由模式支持非对称路由。275、WAF快速部署28谢谢！