08 | 您所在的位置:网站首页 › 双机集群部署 › 08 |
目 录 1 简介 2 配置前提 3 WEB应用防火墙透明双机主主模式部署配置举例 3.1 组网需求 3.2 使用版本 3.3 配置步骤 3.3.1 网络配置 3.3.2 双机配置 3.3.3 交换机配置 3.3.4 接口联动配置 3.3.5 安全策略配置 3.3.6 策略同步 3.4 验证配置 1 简介 本文档介绍了Web应用防火墙透明双机主主模式部署的配置举例。 Web应用防火墙的高可用性可以解决因Web应用防火墙出现的单点故障问题,可以在一台设备出现故障时,另一台设备接管完全的访问流量,保证业务始终处于正常运行,极大的减少设备故障时业务中断时间。 2 配置前提本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 3 WEB应用防火墙透明双机主主模式部署配置举例 3.1 组网需求设备在出厂时,默认所有接口都是属于vlan1的access口,用户可以按实际需求修改接口的类型。 如图所示,Host A和Host B可以实现对Web Server服务器的互联访问,现要求在两台交换机中间透明部署2台Web应用防火墙,2台Web应用防火墙之间开启主主冗余模式,保证在一台Web应用防火墙出现故障时,Host A依然可以正常访问Web服务器。 · 双机冗余模式要求2台Web应用防火墙的设备型号和软件版本完全相同,如有插卡,需要2台设备插卡型号一致。 · 双机冗余模式需要两台设备(除管理口、HA口等)配置一致,建议两台设备(除管理口和HA口)配置一致下进行双机组网,或建议对一台设备进行功能配置,另一台设备为出厂配置下配置管理口和HA口,然后进行双机组网,协商完成之后,将一台设备配置通过高可用性中“同步”按钮,将配置手动同步给另一台设备,保证两台设备基本功能配置一致。 · 若实际使用透明双机主备组网时,不需要使用bypass功能,建议组网过程中不要使用一对bypass口,以免设备故障之后,流量直接通过bypass转发而不检测。
图1 Web应用防火墙HA主主模式部署配置举例组网图 3.2 使用版本 本举例是在系统版本:ESS6712上进行配置和验证的,并针对后续版本中的修改更新了部分截图、说明。 3.3 配置步骤 3.3.1 网络配置登录Web应用防火墙:启动IE/Firefox浏览器,在地址栏内使用https访问管理口IP,即可进入Web网管登录页面。输入用户名“admin”、密码“admin”,点击按钮即可进入Web网管页面并进行相关操作。 推荐使用IE10+及Firefox56+及其以上版本的浏览器。
首先配置第一台应用防火墙;点击左侧菜单:网络配置-网络接口。 图2 主设备网络接口界面
先确定HA接口,本例我们选择GE0/2接口,点击编辑GE0/2接口,我们将GE0/2接口改为路由模式,并配置设备互联地址:1.1.1.2/24,点击应用。 图3 第一台设备网络接口配置页面
开始配置第二台应用防火墙:点击左侧菜单:网络配置-网络接口。 图4 备设备网络接口界面
确定HA接口,本例我们选择GE0/2接口,点击编辑GE0/2接口,我们将GE0/2接口改为路由模式,并配置设备互联地址:1.1.1.3/24,点击应用。 图5 第二台设备网络接口配置页面 3.3.2 双机配置 1. 配置第一台Web应用防火墙 开始配置第一台Web应用防火墙HA:点击左侧网络配置-高可用性,进入高可用性选项后,在顶部选择高可用性标签进入高可用性配置页。 分别配置: (1) 选定启用HA选项; (2) 设置HA模式,我们这里选择主主项; (3) HA接口配置GE0/2; (4) 配置对等IP(即HA对端设备IP),我们这里配置1.1.1.3。 以上配置完成后点击应用。 图6 第一台WAF的HA高可用性配置界面 2. 配置第二台Web应用防火墙 开始配置第二台Web应用防火墙HA:点击左侧网络配置-高可用性,进入高可用性选项后,在顶部选择高可用性标签进入高可用性配置页。 分别配置: (1) 选定启用HA选项; (2) 设置HA模式,我们这里选择主主项; (3) HA接口配置GE0/2; (4) 配置对等IP(即HA对端设备IP),我们这里配置1.1.1.2。 以上配置完成后点击应用。 图7 第二台WAF的HA高可用性配置界面
以上配置完成后即可完成HA的配置,此时2台设备均工作在主模式状况下。 表1 HA配置参数说明 功能 说明 启用HA 启用双机 HA模式 主备模式/主主模式 HA状态 Master/Backup,主机点击同步即可将配置同步到备机 HA接口 选择两个设备之间互连的心跳线接口 保持间隔 两台设备之间发送VRRP报文的时间间隔 对等IP 对方设备的HA地址 3.3.3 交换机配置 透明双机主主模式下,由于当前WAF不支持会话记录功能,需要通过交换机来决定流量走哪条链路,以保证业务流量来回路径一致。具体实现可以使用链路聚合或MSTP协议等。以下组网实例以链路聚合为例。 以组网图1为例,需要将与WAF相连的上下行交换机接口做链路聚合,且聚合方式为以源目的IP做负载分担,这样交换机会记录会话信息,同样源目的IP会从交换机的同一接口转发,同样的源目的IP走的同一台WAF从而保证业务流量来回路径一致,。以下交换机配置命令均以H3C交换机为例。 首先,登录交换机1,将与WAF相连的端口GE1/0/7、GE1/0/8加入到聚合接口组3接口,如下所示。 system-view interface bridge-aggregation 3 link-aggregation load-sharing mode destination-ip source-ip quit interface ge1/0/7 port link-aggregation group 3 quit interface ge1/0/8 port link-aggregation group 3 quit
与上类似,登录交换机2,将与WAF相连的端口GE1/0/7、GE1/0/8加入到聚合接口组3,如下所示。 interface bridge-aggregation 3 link-aggregation load-sharing mode destination-ip source-ip quit interface ge1/0/7 port link-aggregation group 3 quit interface ge1/0/8 port link-aggregation group 3 quit 使用双机主主组网时,由于需要通过配置交换机保证报文来回路径一致,需要确认使用的上下行交换机型号、协议算法等是否能满足要求。 3.3.4 接口联动配置 点击左侧网络配置-接口联动。 在接口联动配置页点击添加按钮打开接口联动配置页。 图8 接口联动界面
在接口联动配置页,从左侧可选接口框根据需要选择到右侧选中接口框内完成联动接口配置。完成点击确定。 图9 接口联动配置界面
配置完成后需要启用接口联动选项,点击相应的联动配置右侧的启用选择框,并保存配置完成接口联动配置。 接口联动配置也需要在两台设备上分别进行配置。 3.3.5 安全策略配置 点击左侧安全策略-Web安全策略,根据需要添加调整Web应用防护策略。 图10 WAF策略界面
点击添加按钮可以添加新WAF策略,点击策略右侧操作按键可以调整策略配置,可根据客户安全需求调整策略内容和动作等信息。调整完毕后点击确定。 图11 WAF策略配置界面
点击左侧安全策略-策略引用,将添加的Web应用策略与Web服务器进行关联。 点击左侧添加按钮,添加新的引用策略,上联接口选择流量入接口(以组网图1为例,即GE0/4接口),根据需要和配置选择入侵检测策略和WEB防护策略(上一步添加的WAF策略),点击服务器安全组按钮添加被保护服务器。 图12 策略引用界面
添加被保护服务器:在服务器列表里添加服务器地址和掩码,协议端口可根据业务情况进行填写和选择,填写完成后点击右侧的添加按钮即可添加到服务器列表中,可以添加多条服务器信息。添加完成后点击应用并返回上一级界面。 图13 服务器添加界面
添加策略引用后界面,默认情况下策略添加完成后并不会启用,需点击操作界面的启用按键启用策略,策略启用后设备既可以实现对WEB服务器的安全防护功能。 图14 策略引用配置完成 3.3.6 策略同步 策略配置可通过高可用性配置页的同步按键将配置同步到另一台Web应用防火墙上:网络配置-高可用性;高可用性配置页下的HA状态后面的同步按钮。 图15 HA高可用性配置界面 双机部署时,WEB漏洞扫描的配置不同步;证书管理模块配置不同步 3.4 验证配置 · Host A访问Web Server可以正常打开Web的页面,此时流量会经过其中一台Web应用防火墙,具体过哪个设备由交换机决定。 图16 第一台设备截图:
图17 第二台设备截图
此时两台设备均为主设备,HA状态均为Master。 · 断开当前工作的其中一台应用防火墙的业务接口,观察设备切换情况,并测试业务是否可以正常打开。 · 测试告警信息是否已经出现在新Web应用防火墙上。 如果测试攻击事件出现在新设备上,代表设备切换正常,至此Web应用防火墙完成主主切换,所有策略可正常运行和告警。
攻击测试方法: 可以在目标服务器上安装测试靶机环境,靶机软件DVWA服务器端。 在客户端用浏览器登录靶机DVWA测试页面。 图18 DVWA测试页面
选择SQL注入选项,并点击测试方法项。 图19 DVWA测试界面
· 进行攻击测试后,可以在Web安全策略中观察到策略命中数。 · 在左侧日志报表项-日志-WEB安全日志中可以查看具体告警信息。 |
CopyRight 2018-2019 实验室设备网 版权所有 |