H3C SecPath WAF反向代理_代理模式组网配置案例

客户采购H3C WAF设备，希望对内部Web服务器提供防护，由于无法将设备串接在Web服务器与交换机之间，因此希望使用反向代理模式，使WAF旁路连接在交换机上，同时实现对服务器的防护功能。

如下图所示，在本配置案例中，对客户端提供Web服务的资源为http://10.88.8.36:60120，Web服务器（由另一台防火墙开启HTTP服务后充当WEB服务器）地址为172.30.0.8（80端口），WAF单臂连接在交换机旁。

配置出口设备

1.1 配置公网口

配置出口防火墙公网IP地址及NAT Server映射。该映射即客户端将要访问服务器时使用的地址和端口。

interface Ethernet0/0

 port link-mode route

 description WAN

nat server protocol tcp global 10.88.8.36 60120 inside 172.30.0.120 www

 ip address 10.88.8.36 255.255.254.0

1.2 配置内网口

配置出口防火墙内网IP地址。该地址将作为WAF及服务器的网关IP地址。

interface Vlan-interface1

 description LAN

ip address 172.30.0.1 255.255.255.0

配置Web服务器

配置Web服务器，使其可以正常对外提供Web服务。在本例中使用一台设备的Web管理页面充当HTTP服务器。

配置WAF设备

3.1 修改WAF设备工作模式

如图所示，在全局配置中，修改“防护模式”至反向代理。修改完成后设备将执行一次重启操作，使配置生效。

3.2 修改WAF客户端IP代理方式

设备重启后，修改“客户端IP地址透明”模式为“不透明”，配置“与后端连接使用的IP”为172.30.0.130，该地址为WAF与后端服务器建立连接时使用的源IP地址。

3.3 配置保护站点

在本案例中，WAF设备使用eth0单臂接入网络，因此接入链路前端和后端都配置为eth0。前端地址设置为NAT Server inside地址，即172.30.0.120，后端地址为172.30.0.130。注意设置链路模式为“代理模式”，并配置用于保护本站点的策略规则。如果要测试阻断效果，策略规则必须配置为启用状态，对相应的攻击策略选择阻断并告警动作。

3.4 应用更改

配置完成后注意点击上方的“应用更改”按钮，使配置生效。

验证

通过客户端浏览器访问Web资源：

尝试使用SQL注入攻击访问Web资源，可以观察到被WAF阻断：

检查日志，可以到相应的攻击事件：

还可以查看到攻击行为的详细信息：

设备支持在线抓包，可直接在设备上抓取并分析业务访问过程：

设置抓包相关参数，点击“开始执行”开始抓包，抓包完成后可直接操作“下载文件”，以获得pcap文件。

通过抓包文件，可以非常直观地看到WAF的代理过程，其中172.31.0.1为客户端执行源地址NAT后的地址（可理解为客户端浏览器地址）。

1、在部分组网场景中，NAT Server设备或网关未能正常学习到WAF前端地址时，业务访问不通。此时可通过两种方式：a，在网关设备上配置WAF前端地址的静态ARP长项；b,将保护站点的前端地址设置为和后端地址相同。

2、当前端地址与后端地址不相同时，前端地址通常不能ping通，后端地址可以ping通。