W2000-AK425

可以试试看看旁路反向代理模式：

WAF旁路在网络中，基于TCP数据包的检测，采用代理转发的技术。客户端访问地址为WAF的IP地址，请求至WAF后由WAF代理转发，以自身的IP地址向服务器发起请求，服务器回包时回给WAF，由WAF再封装数据包，以WAF的IP地址回复客户端。当检测到报文中有攻击流量时，WAF向客户端返回HTTP响应码400 并回客户端FIN+ACK报文，强制与客户端断开TCP连接，带有攻击语句的HTTP请求数据并未转发给服务器。

·     部署优势

¡     1、仅HTTP/HTTPS流量上WAF，不影响其他流量。

¡     2、支持HTTPS防护。

¡     3、支持IPv6部署。

·     部署劣势

旁路反向代理存在单点故障问题，一旦WAF出现故障会影响服务器正常访问。

·     支持功能

扫描防护、HTTP协议校验、HTTP 访问控制、特征防护、威胁情报、爬虫 、防盗链、CSRF、虚拟补丁防护、弱密码检测、访问顺序、文件上传、文件下载、敏感信息、敏感词防护、负载均衡、数据压缩、高速缓存、COOKIE加密、COOKIE加固、DDoS防护、威胁情报。

·     支持协议

HTTP、HTTPS、IPV6。

·     特点

Web应用防火墙需配置业务IP，需配置管理IP。

·     推荐场景

¡     1、有HTTPS需求，混合流量中除HTTP外其他流量较大的场景。

¡     2、有IPv6需求的场景。

5.2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

5.3  使用限制

Web应用防火墙接入网络过程中会造成短暂断网，需提前划分好网桥和网络接口。

5.4  适用产品和版本

此配置举例适用在E6201以上 版本验证测试。

5.5  组网需求

如下图所示，Web应用防火墙旁路部署在服务器区交换机上，对Web服务器进行防护。

图5-1 组网图                                   

5.6  部署说明

（1）允许的情况下，尽量将硬件WAF旁挂在靠近服务端的交换机上。

（2）允许的情况下，尽量将安装VWAF的服务器如CAS等旁挂在靠近服务端的交换机上。

5.7  配置思路

按照组网图组网。

（1）创建新的网桥，并把接入网络的接口划分到新网桥中。配置WAF业务IP和路由。

（2）创建HTTP服务器，配置安全防护策略，对Web服务器进行防护。

5.8  配置步骤

（1）创建新的网桥，并把接入网络的接口划分到新网桥中。

如下图所示，在“网络管理>网络接口>网桥接口”中，点击增加，创建网桥br10。

图5-2 新建网桥-br10

如下图所示，在网桥br10中增加业务IP地址。

图5-3 增加业务IP地址

如下图所示，在网络管理>路由配置中增加路由。

图5-4 增加路由

如下图所示，在网络管理>网络接口>Port接口中编辑port接口。接口GE0/2的“网桥接口”选择br10。

图5-5 port口划分到新网桥

（2）创建HTTP服务器，对Web服务器进行防护。

如下图所示，选择菜单“服务器管理>普通服务器管理”进入普通服务器配置页面，点击增加，新建HTTP服务器，具体参数配置如下，防护模式选择代理模式，客户端IP还原选择否。配置完成后点击保存。

图5-6 创建HTTP服务器（HTTPS服务器需要上传证书和密钥）

如下图所示，选择菜单“服务器管理>代理服务器管理”，进入代理服务器配置页面，点击增加，新建HTTP代理服务器，IP地址填写Web应用防火墙业务IP地址，具体参数配置如下。配置完成后点击保存。

图5-7 增加代理服务器

如下图所示，选择“应用安全防护>Web防护策略”进入Web防护策略管理界面。点击增加，新增Web防护策略。在“服务器”中选择“test”服务器，根据需要进行防护策略的配置，配置完成后点击保存。

图5-8 配置安全防护策略

5.9  验证配置

·     访问Web应用防火墙的IP地址，URL为http://192.168.7.15，可以正常访问。

·     加上攻击参数再次访问网站，URL为http://192.168.7.15/forum.php?id=1 and 1=1，网站不能访问。

·     选择"日志系统>攻击日志"，查看攻击日志，可以看到攻击拦截的详细信息，证明Web应用防火墙已经正常防护。