• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

W2000-AK425

2020-05-09提问
  • 0关注
  • 1收藏,1369浏览
粉丝:1人 关注:5人

问题描述:

请教各位大佬,我们在跟客户对接WAF产品,客户提出了这个功能需求,请问一下,这个多站点的功能支持吗?

最佳答案

粉丝:14人 关注:4人

配置https服务器时,不支持相同的IP配置多个,只能是一个证书。

按照客户的描述,如果是一个证书可以完成,就可以正常配置

回复萌新NE:

一般一个证书就是颁发给一个域名的 或者是同一个后缀的多个子域名

达达大车 发表时间:2020-05-09 更多>>

大佬请教下,您这边说的是同一个IP对应多个域名时,这个证书只能使用一个证书吗?

萌新NE 发表时间:2020-05-09
回复萌新NE:

一般一个证书就是颁发给一个域名的 或者是同一个后缀的多个子域名

达达大车 发表时间:2020-05-09
1 个回答
粉丝:113人 关注:1人

可以试试看看旁路反向代理模式:

WAF旁路在网络中,基于TCP数据包的检测,采用代理转发的技术。客户端访问地址为WAFIP地址,请求至WAF后由WAF代理转发,以自身的IP地址向服务器发起请求,服务器回包时回给WAF,由WAF再封装数据包,以WAFIP地址回复客户端。当检测到报文中有攻击流量时,WAF向客户端返回HTTP响应码400 并回客户端FIN+ACK报文,强制与客户端断开TCP连接,带有攻击语句的HTTP请求数据并未转发给服务器。

·     部署优势

¡     1、仅HTTP/HTTPS流量上WAF,不影响其他流量。

¡     2、支持HTTPS防护。

¡     3、支持IPv6部署。

·     部署劣势

旁路反向代理存在单点故障问题,一旦WAF出现故障会影响服务器正常访问。

·     支持功能

扫描防护、HTTP协议校验、HTTP 访问控制、特征防护、威胁情报、爬虫 、防盗链、CSRF、虚拟补丁防护、弱密码检测、访问顺序、文件上传、文件下载、敏感信息、敏感词防护、负载均衡、数据压缩、高速缓存、COOKIE加密、COOKIE加固、DDoS防护、威胁情报。

·     支持协议

HTTPHTTPSIPV6

·     特点

Web应用防火墙需配置业务IP,需配置管理IP

·     推荐场景

¡     1、有HTTPS需求,混合流量中除HTTP外其他流量较大的场景。

¡     2、有IPv6需求的场景。

5.2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

5.3  使用限制

Web应用防火墙接入网络过程中会造成短暂断网,需提前划分好网桥和网络接口。

5.4  适用产品和版本

此配置举例适用在E6201以上 版本验证测试。

5.5  组网需求

如下图所示,Web应用防火墙旁路部署在服务器区交换机上,对Web服务器进行防护。

图5-1 组网图                                   

注意

·     组网图中的eth3接口,若是云WAF,此eth3口是作为反向代理业务口的接口,对应CAS服务器上的实际物理口。若是硬件WAF,此eth3口应该为硬件WAF的接口,如GE0/1

·     在云WAF安装过程中,添加的第一个业务网卡对应云WAFport0口,按照添加先后顺序,第二个添加的业务网卡为port1,以此类推。

·     在云WAF环境下,建议管理网和业务网不要连在虚拟化平台的同一个实体网卡上。

·     云WAF部署用iso镜像部署虚拟机时,只选择一个网卡。虚拟机部署完成后,再编辑虚拟机添加第二个网卡。

 

5.6  部署说明

1)允许的情况下,尽量将硬件WAF旁挂在靠近服务端的交换机上。

2)允许的情况下,尽量将安装VWAF的服务器如CAS等旁挂在靠近服务端的交换机上。

5.7  配置思路

按照组网图组网。

1)创建新的网桥,并把接入网络的接口划分到新网桥中。配置WAF业务IP和路由。

2)创建HTTP服务器,配置安全防护策略,对Web服务器进行防护。

5.8  配置步骤

1)创建新的网桥,并把接入网络的接口划分到新网桥中。

如下图所示,在“网络管理>网络接口>网桥接口”中,点击增加,创建网桥br10

图5-2 新建网桥-br10

如下图所示,在网桥br10中增加业务IP地址。

图5-3 增加业务IP地址

如下图所示,在网络管理>路由配置中增加路由。

图5-4 增加路由

如下图所示,在网络管理>网络接口>Port接口中编辑port接口。接口GE0/2的“网桥接口”选择br10

图5-5 port口划分到新网桥

2)创建HTTP服务器,对Web服务器进行防护。

如下图所示,选择菜单“服务器管理>普通服务器管理”进入普通服务器配置页面,点击增加,新建HTTP服务器,具体参数配置如下,防护模式选择代理模式,客户端IP还原选择否。配置完成后点击保存。

图5-6 创建HTTP服务器(HTTPS服务器需要上传证书和密钥)

如下图所示,选择菜单“服务器管理>代理服务器管理”,进入代理服务器配置页面,点击增加,新建HTTP代理服务器,IP地址填写Web应用防火墙业务IP地址,具体参数配置如下。配置完成后点击保存。

图5-7 增加代理服务器

如下图所示,选择“应用安全防护>Web防护策略”进入Web防护策略管理界面。点击增加,新增Web防护策略。在“服务器”中选择“test”服务器,根据需要进行防护策略的配置,配置完成后点击保存。

图5-8 配置安全防护策略

5.9  验证配置

·     访问Web应用防火墙的IP地址,URLhttp://192.168.7.15,可以正常访问。

·     加上攻击参数再次访问网站,URLhttp://192.168.7.15/forum.php?id=1 and 1=1,网站不能访问。

·     选择"日志系统>攻击日志",查看攻击日志,可以看到攻击拦截的详细信息,证明Web应用防火墙已经正常防护。

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明