WAF实施方案

福建省政务外网云计算平台工程WAF实施方案2011年12月文档信息文档名称福建省政务外网云计算平台工程——实施方案文档编号保密级别商密制作日期2011-12-17作者HYG版本号V1.2复审人复审日期扩散范围福建省海峡信息技术有限公司及福建省经济信息中心文档说明本文档是福建省海峡信息技术有限公司（以下简称海峡信息）为福建省经济信息中心提供的福建省政务外网云计算平台工程项目实施方案，仅供相关项目实施参考使用。版权说明本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属福建省海峡信息技术有限公司所有，受到有关产权及版权法保护。任何个人、机构未经福建省海峡信息技术有限公司的书面授权许可，不得以任何方式复制或引用本文件的任何片段。版本控制版本编号修订人修订日期修订说明发布版本项目实施方案福建省海峡信息技术有限公司服务创造价值专业安全服务0目录1.网络拓扑.........................................................................................................12.安装环境需求.................................................................................................13.技术规划.........................................................................................................14.实施步骤.........................................................................................................25.配置步骤.........................................................................................................35.1.基本配置.......................................................................................................................35.2.服务器配置...................................................................................................................35.3.WEB安全配置.............................................................................................................75.4.日志配置.....................................................................................................................105.5.IIS插件的安装...........................................................................................................115.6.APACHE日志配置的修改........................................................................................125.7.测试方法.....................................................................................................................13WAF实施方案服务创造价值11.网络拓扑2.安装环境需求项目需求配置/备注Web应用防护抗攻击系统两台机柜空间4U以上空间标准机柜，并配有层板、机柜螺丝，2U设备电源4个电源插座220标准交流电源，每台两个电源网络跳线6根把ETH6与ETH7加入VLAN网桥，ETH6口接IPS，ETH7口接核心交换机，如需外接日志服务器，ETH0口接设备管理交换机，每台需3根网线IP两个对接IP两个管理IP两台WEB应用防火墙的网桥各需要一个各自出口线路与核心交换机同网段的IP作为透明代理使用，每台一个。如需外接日志服务器，ETH0口需要一个IP作为与日志服务器通信使用，ETH0口IP需与日志服务器IP同网段，每台一个。3.技术规划在数据中心的两条出口线路上分别部署一台Web应用防火墙，使用VLAN技术把ETH6与ETH7划到一个VLAN进行透明接入，接口不分内外，可以任意接。具体接入位置可放在IPS与核心交换机之间。两台设备同时工作，WAF实施方案服务创造价值2当其中一台WEB应用防火墙出现故障，根据华为防火墙网关检测功能，会自动切换到另一条线路，任意一条线路只要有数据经过，WEB应用防火墙就会进行检测防御。两台WEB应用防火墙的网桥各需要一个各自出口线路与核心交换机同网段的IP作为透明代理使用。WEB应用防火墙采用B/S模式进行管理，通过多种机制的分析检测，能够有效的阻断攻击，保证Web应用合法流量的正常传输。备注：透明代理的原理是WEB应用防火墙会过滤访问被保护WEB服务器的数据，对于合法的访问请求，以透明代理的方式向WEB服务器发起新的HTTP会话，然后再将服务器返回的数据发送回请求端（即外网）。因此，WEB应用防火墙上配置的IP地址需要能和被保护服务器直接通讯，并且能够将数据路由发送回请求端（即外网）。这样就需要让WEB防火墙配置的IP地址与相邻的内网路由设备使用同一网段的IP。4.实施步骤了解需保护的网站域名、网站服务器的IP、端口需给两台WAF各自分配一个IP作为透明代理使用，这个IP需跟防火墙与核心交换机直连同网段，并能访问内部WEB服务器WAF本地有500G的硬盘可提供存放日志，如需日志外传，可采用自带的日志服务接收软件，也提供标准的syslog接口，端口514，需各自分配一个与日志服务器同网段的IP了解WEB服务器的架构，有无采用虚拟主机(同一IP同一端口上有多个域名)、负载均衡有无HTTPS网站，有的话需要网站的证书和密钥（.crt和.key）了解WEB是否使用IIS，（IIS的日志，在部署WAF后，需装插件才能看到客户端的真实IP;如果是APACHE的话，只需更改配置文件）确认在WAF接入之前，网络异常是否能正常切换根据用户环境适当调整检测策略WAF实施方案服务创造价值3测试设备是否正常工作5.配置步骤5.1.基本配置出厂情况下，所有网口都属于MngtVlan,在PC上打开浏览器，访问的主界面创建一个vlan，并给新的vlan配置IP、掩码（每个VLAN可配置多个IP），并把端口加入到vlan，更改接口后，可能导致管理VLAN的MAC变更，如发现PING不通需用arp-d清空下ARP缓存配置路由，如果是默认路由在目标地址和子网掩码中都输入0.0.0.0，如果是静态路由，根据实际网段填写；本地访问控制，如有IP需要管理HD-WAF,需添加本地访问控制规则，输入IP并选择管理方式，如SSH、WEB等5.2.服务器配置网站参数WAF实施方案服务创造价值4名称域名服务器IP端口备注网站1、网站1配置：添加普通服务器：［服务器管理］→［普通服务器管理］，增加根据“网站1”的相关参数，完成服务器配置，（注：服务器名称不能为中文）如下图：WAF实施方案服务创造价值52、网站2配置：添加普通服务器：［服务器管理］→［普通服务器管理］，增加根据“网站2”的相关参数，完成服务器配置，（注：服务器名称不能为中文）如下图：3、“网站3、4、5（80）”配置：添加虚拟主机服务器：［服务器管理］→［虚拟主机服务器管理］，增加“根据网站3、4、5”的相关参数，完成服务器的基本配置，（注：服务WAF实施方案服务创造价值6器名称不能为中文）如下图：点下一步进入站点配置，通过“增加”按扭，分别添加网站3、4、5的域名和别名，添加好站点域名后，如下图：4、“网站5（443）”配置：添加普通服务器：［服务器管理］→［普通服务器管理］，增加WAF实施方案服务创造价值7“根据网站5”的相关参数，完成服务器的基本配置，（注：服务器名称不能为中文）如下图：5.3.WEB安全配置注：WEB安全配置分为安全配置和站点安全两个步骤，需先添加安全配置文件，再做站点安全配置；安全配置文件是指调用WAF的相关防护规则，各网站可以使用同一个安全配置文件，也可使用不同的配置文件；1、安全配置：添加安全配置文件，各网站可以使用同一个配置文件，也可使用不同的配置文件：［WEB安全］→［安全配置］，增加WAF实施方案服务创造价值8输入配置文件名称（不能为中文），选择防护点，如下图：2、站点安全：配置各网站的安全防护：［WEB安全］→［站点安全］，选择编辑各站点，如下图：选择“配置文件”、“检查方向”、是否记录日志、是否启用对该网站的防WAF实施方案服务创造价值9护，如下图：选择网站的检查点，如下图：以同样的方法完成其它网站的站点安全配置3、上传“网站5”的SSL网站证书［WEB安全］→［站点安全］，选中网站5https站点WAF实施方案服务创造价值10点“上传SSL密钥”，选择密钥文件(.key)，并上传点“上传SSL证书，选择证书文件（.ert），并上传5.4.日志配置［日志系统］→［日志配置］，启用本地日志，如下图WAF实施方案服务创造价值115.5.IIS插件的安装部署HD-WAF后，IIS服务器需要借助ISAPI插件来完成对X-Forwarded-For的远程真实客户端的IP提取，否则IIS日志中记录的都是HD-WAF的IP。同时无须对IIS日志属性做修改。安装过程如下：1、从HD-WAF上下载X-Forwarded-For插件、点击站点属性，可对全局站点设置，也可对单个站点设置。本例针对全局设置为主，点击ISAPI筛选器选项卡（图-1）图-13、添加ISPAI（图-2），筛选器名称自定义，DLL文件必须在英文文件夹下图-24、确定，重启IIS服务器（图-3）WAF实施方案服务创造价值12图-35、此时可以看到ISAPI的插件已经生效（图-4），即可访问网站并让IIS生成访问日志。图-45.6.APACHE日志配置的修改APACHE的服务器无需安装插件，只要更改下日志的配置，加入X-Forwarder-For，即可识别到客户端的真实IP。1、打开httpd.conf配置文件，找到日志配置模块，如下图：IfModulelog_config_moduleLogFormat%h%l%u%t\%r\%s%b\%{Referer}i\\%{User-Agent}i\combinedLogFormat%h%l%u%t\%r\%s%bcommonIfModulelogio_moduleWAF实施方案服务创