13 服务器负载均衡配置举例

13.1  简介

服务端目前有多负载均衡服务器，实现业务应用链路负载，提高链路稳定性与可靠性。

13.2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

13.3  使用限制

Web应用防火墙接入网络过程中会造成短暂断网，需提前划分好网桥和网络接口。负载均衡规则只支持反向代理模式。

13.4  适用产品和版本

此配置举例适用在E6204以上 版本验证测试，以旁路反向代理为例。

13.5  组网需求

如下图所示，Web应用防火墙旁路部署在服务器区交换机上，对Web服务器进行防护。

图13-1 组网图

13.6  部署说明

允许的情况下，尽量将WAF部署靠近DMZ服务端的区域。

13.7  配置思路

按照组网图组网。

（1）创建新的网桥，并把接入网络的接口划分到新网桥中。配置WAF业务IP和路由。

（2）配置部署模式。

（3）配置负载均衡服务器对应的防护资产，引用防护策略。对于现网流量大，访问服务器会话较多，推荐在web防护策略中关闭访问日志（默认为关闭访问日志）。

（4）代理网关中配置负载均衡规则。

13.8  配置步骤

（1）交换机上GE01/0/1、GE01/0/2、GE01/0/3加入同一vlan，WAF上新增网桥br10，并配置接口IP ：202.3.25.17。把GE0/1口划分到br10中。

图13-2 添加网桥接口IP

添加路由保证代理地址可以和两个服务器及客户端均路由可达即可，在网路管理>路由配置中添加路由。

图13-3 添加路由

（2）配置部署模式。

如下图所示，选择菜单“基础配置>部署模式”进入部署模式配置页面，选择“串联”部署模式，选择完成后保存配置。

注：反向代理模式为物理旁路，逻辑串联的部署模式，因此部署模式选择串联。

图13-4 选择串联部署模式

（3）配置防护资产，引用防护策略。

如下图所示，选择菜单“基础配置>防护资产”进入防护资产配置页面，点击添加，新建防护资产，配置资产的同时即可引用对应的防护资产。对于现网流量大，访问服务器会话较多，推荐在防护资产中关闭访问日志（默认为关闭访问日志）。

图13-5 创建防护资产

在防护模块部分，根据需要进行防护策略的配置，配置完成后点击保存。

图13-6 配置安全防护策略

（4）代理网关中配置负载均衡规则。

A.HTTP

如下图所示，选择“代理网关>负载均衡规则”进入负载均衡规则配置页面，点击添加，新建负载均衡规则，代理IP选择WAF上配置的业务IP，成员IP填写后端真实负载均衡服务器IP，具体配置如下：

图13-7 配置HTTP负载均衡规则

B.HTTPS

如下图所示，选择“代理网关>负载均衡规则”进入负载均衡规则配置页面，点击添加，新建负载均衡规则，代理IP选择WAF上配置的业务IP，被代理IP填写后端真实负载均衡服务器IP，如果不设置域名，则对配置的IP地址进行防护，以及IP地址相关域名也可以防护；如果配置域名，则仅对域名进行防护。针对一个Web服务器绑定多个域名的场景，可以根据需求在域名类型中配置“单域名”或者“多域名”，上传对应的证书即可。此时，WAF只防护配置中的域名，当客户端使用其他域名或使用IP访问/攻击时，不进行检测防护，具体配置如下：

图13-8 配置HTTPS负载均衡规则

13.9  攻击验证

（1）访问代理地址http://202.3.25.17/login.php?id=1%20and%201=1

图13-9 攻击被WAF拦截

（2）选择"日志系统>防护日志"，查看攻击日志，可以看到攻击拦截的详细信息，证明Web应用防火墙已经正常防护。

图13-10 查看攻击日志