客户采购H3C WAF设备,希望对内部Web服务器提供防护,由于无法将设备串接在Web服务器与交换机之间,因此希望使用反向代理模式,使WAF旁路连接在交换机上,同时实现对服务器的防护功能。
如下图所示,在本配置案例中,对客户端提供Web服务的资源为http://10.88.8.36:60120,Web服务器(由另一台防火墙开启HTTP服务后充当WEB服务器)地址为172.30.0.8(80端口),WAF单臂连接在交换机旁。
配置出口设备
1.1 配置公网口
配置出口防火墙公网IP地址及NAT Server映射。该映射即客户端将要访问服务器时使用的地址和端口。
interface Ethernet0/0
port link-mode route
description WAN
nat server protocol tcp global 10.88.8.36 60120 inside 172.30.0.120 www
ip address 10.88.8.36 255.255.254.0
1.2 配置内网口
配置出口防火墙内网IP地址。该地址将作为WAF及服务器的网关IP地址。
interface Vlan-interface1
description LAN
ip address 172.30.0.1 255.255.255.0
配置Web服务器
配置Web服务器,使其可以正常对外提供Web服务。在本例中使用一台设备的Web管理页面充当HTTP服务器。
配置WAF设备
3.1 修改WAF设备工作模式
如图所示,在全局配置中,修改“防护模式”至反向代理。修改完成后设备将执行一次重启操作,使配置生效。
3.2 修改WAF客户端IP代理方式
设备重启后,修改“客户端IP地址透明”模式为“不透明”,配置“与后端连接使用的IP”为172.30.0.130,该地址为WAF与后端服务器建立连接时使用的源IP地址。
3.3 配置保护站点
在本案例中,WAF设备使用eth0单臂接入网络,因此接入链路前端和后端都配置为eth0。前端地址设置为NAT Server inside地址,即172.30.0.120,后端地址为172.30.0.130。注意设置链路模式为“代理模式”,并配置用于保护本站点的策略规则。如果要测试阻断效果,策略规则必须配置为启用状态,对相应的攻击策略选择阻断并告警动作。
3.4 应用更改
配置完成后注意点击上方的“应用更改”按钮,使配置生效。
验证
通过客户端浏览器访问Web资源:
尝试使用SQL注入攻击访问Web资源,可以观察到被WAF阻断:
检查日志,可以到相应的攻击事件:
还可以查看到攻击行为的详细信息:
设备支持在线抓包,可直接在设备上抓取并分析业务访问过程:
设置抓包相关参数,点击“开始执行”开始抓包,抓包完成后可直接操作“下载文件”,以获得pcap文件。
通过抓包文件,可以非常直观地看到WAF的代理过程,其中172.31.0.1为客户端执行源地址NAT后的地址(可理解为客户端浏览器地址)。
1、在部分组网场景中,NAT Server设备或网关未能正常学习到WAF前端地址时,业务访问不通。此时可通过两种方式:a,在网关设备上配置WAF前端地址的静态ARP长项;b,将保护站点的前端地址设置为和后端地址相同。
2、当前端地址与后端地址不相同时,前端地址通常不能ping通,后端地址可以ping通。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作