安恒明御WAF防火墙基本部署配置指南课件

,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,#,8/20/2020,#,安恒明御,WAF,防火墙基本部署配置指南,技术创新,变革未来,安恒明御WAF防火墙基本部署配置指南技术创新 变革未,2,明御,WAF,基本部署配置,面板、接口及指示灯说明,设备默认配置信息,管理口,IP,配置,常见的部署模式,WAF,快速部署,2明御WAF基本部署配置面板、接口及指示灯说明,3,1,、面板、接口及指示灯说明,端口说明,Console,口：即串口，产品初始化配置使用,Admin,口：即管理口，远程管理使用,HA,口：双机热备使用,Seckey,：加密狗,USB,接口,一个桥内两个接口，没有进出口之分,31、面板、接口及指示灯说明端口说明,4,指示灯说明,4指示灯说明,5,指示灯说明,指示灯,颜色,含义,PWR,灯,常亮,电源工作正常,不亮,电源工作异常,HDD,灯,/LOG,灯,闪烁,硬盘工作正常,不亮,硬盘工作异常,LINK,灯,不亮,网口工作在,10Mbps,速率,亮绿色,网口工作在,100Mbps,速率,亮橙色,网口工作在,1000Mbps,速率,ACT,灯,不亮,网口工作在物理直通或断线状态,5指示灯说明指示灯颜色含义PWR灯常亮电源工作正常不亮电源工,6,2,、设备默认配置信息,默认管理口,IP,：,192.168.1.100,默认,WEB,管理地址：,https:/192.168.1.100,隐藏,WEB,管理地址：,10.255.254.253,（防止前台管理,IP,时可以使用）,默认前台超级管理员账户：,admin,默认前台超级管理员账户密码：,adminadmin,默认串口波特率：,115200,默认串口账户：,admin,默认串口密码：,admin,62、设备默认配置信息默认管理口IP：192.168.1.1,7,7,3,、管理,IP,配置,方式一：配置管理口,IP,地址（,console,口配置）,Step 1:,使用,PuttysecureCRT,超级终端等工具登陆串口,Step 2:,输入默认用户名密码,admin/admin,773、管理IP配置方式一：配置管理口IP地址（conso,8,8,方式一：配置管理口,IP,地址（,console,口配置）,Step 3:,输入数字“,2,”，进入下一步,Step 4:,输入“,1,”，进入下一步,88方式一：配置管理口IP地址（console口配置）St,9,9,方式一：配置管理口,IP,地址（,console,口配置）,Step 5:,输入,IP,地址、子网掩码、网关、,DNS,99方式一：配置管理口IP地址（console口配置）St,10,10,方式二：配置管理口,IP,地址（,web,界面配置）,Step 1,:,用网线直连,Admin,口，将电脑网卡地址设置为,192.168.1.0/24,网段任意地址即可（排除,192.168.1.100,）,Step 2,:,登,https:/192.168.1.100,默认用户名,/,密码,admin/adminadmin,1010方式二：配置管理口IP地址（web界面配置）Ste,11,11,方式二：配置管理口,IP,地址（,web,界面配置）,Step 3:,进入,【,系统,】,【,系统配置,】,，如下图所示：,1111方式二：配置管理口IP地址（web界面配置）Ste,12,12,注意：,默认,WAF,对管理者,IP,是有限制的，只允许私有,IP,地址（,192.168.*.*,10.*.*.*,172.16.8.,*）可以管理,WAF,设备。,如果,WAF,管理口,IP,地址设置为公网地址则需要关闭“管理者,IP,限制”,1212注意：默认WAF对管理者IP是有限制的，只允许私有I,13,13,4,、常见的部署模式,透明代理模式,反向代理模式（代理模式、牵引模式）,旁路监控模式,桥模式,路由模式,13134、常见的部署模式透明代理模式,14,透明代理模式,透明代理部署模式支持透明串接部署方式。串接在用户网络中，可实现即插即用，无需用户更改网络设备与服务器配置。部署简单易用，应用于大部分用户网络中。,部署特点：,不需要改变用户的网络结构，对于用户而言是透明的。,安全防护能力强,故障恢复快，可支持,Bypass,14透明代理模式透明代理部署模式支持透明串接部署方式。串接在,15,反向代理模式,代理模式,部署特点：,可旁路部署，对于用户网络不透明，防护能力强,故障恢复时间慢，不支持,Bypass,，恢复时需要重新将域名或地址映射到原服务器。,此模式应用于复杂环境中，如设备无法直接串接的环境,。,访问时需要先访问明御,WAF,配置的业务口地址,。,支持,VRRP,主备,15反向代理模式代理模式部署特点：可旁路部署，对于用户网,16,反向代理模式,代理模式,工作原理：,用户访问的是,WAF,的前端链路地址，,WAF,在接收到流量之后通过后端链路地址去访问真实的服务器，因此服务器看到客户端地址为,WAF,的后端链路地址,16反向代理模式代理模式工作原理：用户访问的是WAF的前,17,反向代理模式,代理模式,接入链路：,WAF,采用反向代理接入环境中一般用一个业务口就可以，也可以采用两个接口，如果采用一个接口，那么前端和后端选择同一个接口,链路地址（前端）：前端链路地址是客户访问的地址，通过访问前端地址可以访问到服务器业务，前端地址可以和保护站点的,IP,地址在同一个网段也可以在不同的网段，只要前端地址和保护站点地址的路由可通就可以,链路地址（后端）：,WAF,在接受到客户端的流量之后，,WAF,充当客户端通过后端地址去访问真实的服务器地址，因此服务器看到的客户端地址为,WAF,的后端地址。,WAF,的后端地址可以和前端地址是同一个,IP,地址也可以是相同网段的不同地址。,链路模式：需要选择代理模式或者牵引模式,17反向代理模式代理模式接入链路：WAF采用反向代理接入,18,反向代理模式,代理模式,客户端,IP,地址透明：有两个选项透明和不透明，,但是一般,WAF,反向代理模式下都要选择不透明。,客户端,IP,地址如果选择透明，服务器就可以看到真实的客户端,IP,地址，那么服务器在返回流量时就会通过服务器网关直接返回给客户端而不返回给,WAF,，这样,WAF,代理就会失败，为了保证,WAF,代理成功必须在交换机上面做策略路由将服务器返回的流量牵引到,WAF,，这样,WAF,代理才能成功，,因为选择透明比较麻烦因此正常情况下面一般都是选择不透明,客户端,IP,地址如果选择不透明，服务器看到的客户端,IP,地址为,WAF,的后端地址，这样服务器返回的流量就会返回给,WAF,X-Forwarded-For,字段名称，如果选择客户端,IP,地址不透明，为了告警日志能够显示证真实的客户端,IP,地址，必须要启用,X-Forwarded-For,18反向代理模式代理模式客户端IP地址透明：有两个选项透,19,反向代理模式,VRRP,VRRP,主备模式简介,WAF,在反向代理模式下可以支持主备模式，正常情况下只有主机工作，备机不工作，当主机业务口出现问题时，备机自动切换为主机进行工作,19反向代理模式VRRPVRRP主备模式简介WAF在,20,反向代理模式,VRRP,VRRP,主备模式配置说明,启用,VRRP,功能，,vrrp,是按保护站点来的，启用了,vrrp,，这个保护站点上的前端链路上的,ip,就会变成虚,ip,，同时支持,bond,。,通过 配置,=,保护站点,=VRRP,支持 来配置,VRRP,功能。,状态：是否开启,VRRP,功能；,本机角色：选择本机角色，主机或备机；,虚拟路由,ID,：同一个,VRRP,组的,ID,相同,20反向代理模式VRRPVRRP主备模式配置说明启,21,反向代理模式,VRRP,VRRP,主备模式工作细节,VRRP,的心跳包通信接：管理,VRRP,的监控端口：业务,必要条件：反代模式，主备机开启,VRRP,功能，主备机管理互通,主备机正常工作时,主机业务被分配虚,ip,，备机业务无,ip,，业务流量通过主机转发；,主机业务,down,掉时,备机业务被分配虚,ip,，业务流量通过备机转发；,主机业务由,down,转换到,up,时,主机业务被分配,ip,，备机业务无,ip,，业务流量通过主机转发；,主机管理,down,时,主备机都有虚,ip,，业务流量通过主机转发。,21反向代理模式VRRPVRRP主备模式工作细节VR,22,反向代理模式,牵引模式,部署特点：,可旁路部署，对于用户网络不透明,。,故障恢复时间慢，不支持,Bypass,，恢复时需要删除路由器策略路由配置,。,此模式应用于复杂环境中，如设备无法直接串接的环境,。,访问时仍访问网站服务器,。,支持,VRRP,22反向代理模式牵引模式部署特点：可旁路部署，对于用户网,23,反向代理模式,牵引模式,用户访问的是服务器的真实的,IP,地址，需要在交换机上面将用户访问服务器的,http,流量通过策略路由的方式牵引到,WAF,，策略路由的下一跳地址为,WAF,的前端地址，,WAF,在接受到地址之后通过后端地址去请求真实的服务器。,注意：做策略路由牵引流量时不需要将服务器,IP,的所有流量都牵引过来，只需要针对,IP+PORT,的方式做策略路由，因为其他协议的流量,WAF,是不会处理的,23反向代理模式牵引模式用户访问的是服务器的真实的IP地,24,旁路监控模式,采用旁路监听模式，在交换机做服务器端口镜像，将流量复制一份到明御,WAF,上，部署时不影响在线业务。,部署特点：,明御,WAF,在旁路监听模式部署下只能用于流量分析或日志审计，不能实现防护,。,24旁路监控模式采用旁路监听模式，在交换机做服务器端口镜像，,25,桥模式,部署特点：,桥模式是真正意义上的透明，不会更改数据包任何内容，比如源,MAC,、源端口、,TCP,序列号、,HTTP,协议版本等内容，所以不会存在代理模式中的长短连接问题、健康检查、端口安全、协议不兼容等问题。,桥模式不跟踪,TCP,会话，可支持路由不对称环境,。,桥模式下部分功能不支持，比如缓存压缩、智能防护、自学习建模、日志审计等功能。,对服务器响应包的内容不检测。,防护能力不如透明代理，可能会存在漏报现象,。,25桥模式部署特点：桥模式是真正意义上的透明，不会更改数据包,26,路由模式,部署特点：,路由模式（无冗余结构）故障恢复慢，不支持,bypass,，恢复时需要重新修改静态路由。,路由模式（冗余结构）故障恢复速度快，恢复时不需要修改任何配置。,路由模式支持非对称路由,。,26路由模式部署特点：路由模式（无冗余结构）故障恢复慢，不支,27,5,、,WAF,快速部署,275、WAF快速部署,28,谢谢！,28谢谢！,