WAF实施方案

福建省政务云计算平台工程

WAF实施方案

2011年12月

文档信息

文档名称 文档编号 保密级别 作者 扩散范围 福建省政务云计算平台工程——实施方案 商密 HYG 制作日期 2011-12-17 版本号 V1.2 复审人 复审日期 福建省海峡信息技术有限公司及福建省经济信息中心 版本控制 版本编号 修订人 修订日期 修订说明 发布版本 文档说明

本文档是福建省海峡信息技术有限公司（以下简称海峡信息）为福建省经济信息中心提供的福建省政务云计算平台工程项目实施方案，仅供相关项目实施参考使用。

版权说明

本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属福建省海峡信息技术有限公司所有，受到有关产权及版权法保护。任何个人、机构未经福建省海峡信息技术有限公司的书面授权许可，不得以任何方式复制或引用本文件的任何片段。

项目实施方案 福建省海峡信息技术有限公司

目录

1. 2. 3. 4. 5.

5.1. 5.2. 5.3. 5.4. 5.5. 5.6. 5.7.

网络拓扑 ......................................................................................................... 1 安装环境需求 ................................................................................................. 1 技术规划 ......................................................................................................... 1 实施步骤 ......................................................................................................... 2 配置步骤 ......................................................................................................... 3

基本配置 ....................................................................................................................... 3 服务器配置 ................................................................................................................... 3 WEB安全配置 ............................................................................................................. 7 日志配置 ..................................................................................................................... 10 IIS插件的安装 ........................................................................................................... 11 APACHE日志配置的修改 ........................................................................................ 12 测试方法 ..................................................................................................................... 13

服务创造价值 0 专业安全服务

WAF实施方案

1. 网络拓扑

2. 安装环境需求

项目 机柜空间 电源 网络跳线 需求 两台 标准机柜，并配有层板、机柜螺丝，2U设备 220标准交流电源，每台两个电源 4U以上空间 4个电源插座 6根 配置/备注 Web应用防护抗攻击系统 IP 两个对接IP 两个管理IP 把ETH6与ETH7加入VLAN网桥，ETH6口接IPS，ETH7口接核心交换机，如需外接日志服务器，ETH0口接设备管理交换机，每台需3根网线 两台WEB应用防火墙的网桥各需要一个各自出口线路与核心交换机同网段的IP作为透明代理使用，每台一个。如需外接日志服务器，ETH0口需要一个IP作为与日志服务器通信使用，ETH0口IP需与日志服务器IP同网段，每台一个。 3. 技术规划

在数据中心的两条出口线路上分别部署一台Web应用防火墙，使用

VLAN技术把ETH6与ETH7划到一个VLAN进行透明接入，接口不分内外，可以任意接。具体接入位置可放在IPS与核心交换机之间。两台设备同时工作，

服务创造价值

1

WAF实施方案

当其中一台WEB应用防火墙出现故障，根据华为防火墙网关检测功能，会自动切换到另一条线路，任意一条线路只要有数据经过，WEB应用防火墙就会进行检测防御。两台WEB应用防火墙的网桥各需要一个各自出口线路与核心交换机同网段的IP作为透明代理使用。WEB应用防火墙采用B/S模式进行管理，通过多种机制的分析检测，能够有效的阻断攻击，保证Web应用合法流量的正常传输。

备注：透明代理的原理是WEB应用防火墙会过滤访问被保护WEB服务

器的数据，对于合法的访问请求，以透明代理的方式向WEB服务器发起新的HTTP会话，然后再将服务器返回的数据发送回请求端（即）。因此，WEB应用防火墙上配置的IP地址需要能和被保护服务器直接通讯，并且能够将数据路由发送回请求端（即）。这样就需要让WEB防火墙配置的IP地址与相邻的内网路由设备使用同一网段的IP。

4. 实施步骤

➢ 了解需保护的网站域名、网站服务器的 IP 、端口

➢ 需给 两台WAF各自分配一个 IP作为透明代理使用 ，这个 IP 需跟防火墙

与核心交换机直连同网段，并能访问内部WEB服务器

➢ WAF本地有500G的硬盘可提供存放日志，如需日志外传，可采用自带的日

志服务接收软件，也提供标准的syslog接口，端口514，需各自分配一个与日志服务器同网段的IP

➢ 了解 WEB 服务器的架构 ， 有无采用虚拟主机 ( 同一 IP 同一端口上有

多个域名 ) 、负载均衡

➢ 有无 HTTPS 网站，有的话需要网站的证书和密钥（ .crt 和 .key ） ➢ 了解 WEB 是否使用 IIS ， （ IIS 的日志 ， 在部署 WAF 后 ， 需装插

件才能看到客户端的真实 IP ; 如果是 APACHE 的话，只需更改配置文件） ➢ 确认在WAF接入之前，网络异常是否能正常切换 ➢ 根据用户环境适当调整检测策略

服务创造价值 2

WAF实施方案

➢ 测试设备是否正常工作

5. 配置步骤

5.1. 基本配置

出厂情况下，所有网口都属于MngtVlan, 在PC上打开浏览器，访问 https://192.168.1.100 可以看到WAF的主界面

➢ 创建一个vlan，并给新的vlan配置IP、掩码（每个VLAN可配置多个

IP），并把端口加入到vlan， 更改接口后，可能导致管理VLAN的MAC变更，如发现PING不通需用arp -d清空下ARP缓存

➢ 配置路由，如果是默认路由在目标地址和子网掩码中都输入0.0.0.0，如

果是静态路由，根据实际网段填写；

➢ 本地访问控制，如有IP需要管理HD-WAF,需添加本地访问控制规则，

输入IP并选择管理方式 ，如SSH、WEB等

5.2. 服务器配置

网站参数

服务创造价值

3

WAF实施方案

名称 网站1 网站2 网站3 网站4 网站5

域名 www.test.com 10.50.0.197 www.test1.com www.test2.com www.test3.com 服务器IP 10.50.0.195 10.50.0.197 10.50.0.196 10.50.0.196 10.50.0.196 80 80 80 80 端口 备注 虚拟主机 80,443 1、网站1配置：添加普通服务器：［服务器管理］→［普通

服务器管理］，增加

根据“网站1”的相关参数，完成服务器配置，（注：服务器名称不能为中文）如下图：

服务创造价值

4

WAF实施方案

2、 网站2配置：添加普通服务器：［服务器管理］→［普通

服务器管理］，增加

根据“网站2”的相关参数，完成服务器配置，（注：服务器名称不能为中文）如下图：

3、 “网站3、4、5（80）”配置：添加虚拟主机服务器：［服务

器管理］→［虚拟主机服务器管理］，增加

“根据网站3、4、5”的相关参数，完成服务器的基本配置，（注：服务

服务创造价值 5

WAF实施方案

器名称不能为中文）如下图：

点下一步进入站点配置，通过“增加”按扭，分别添加网站3、4、5的

域名和别名，添加好站点域名后，如下图：

4、 “网站5（443）”配置：添加普通服务器：［服务器管理］→

［普通服务器管理］，增加

服务创造价值 6

WAF实施方案

“根据网站5”的相关参数，完成服务器的基本配置，（注：服务器名称不能为中文）如下图：

5.3. WEB安全配置

注：WEB安全配置分为安全配置和站点安全两个步骤，需先添加安全配

置文件，再做站点安全配置；安全配置文件是指调用WAF的相关防护规则，各网站可以使用同一个安全配置文件，也可使用不同的配置文件；

1、 安全配置：添加安全配置文件，各网站可以使用同一个配

置文件，也可使用不同的配置文件：［WEB安全］→［安全配置］，增加

服务创造价值 7

WAF实施方案

输入配置文件名称（不能为中文），选择防护点，如下图：

2、 站点安全：配置各网站的安全防护：［WEB安全］→［站

点安全］，选择编辑各站点，如下图：

选择“配置文件”、“检查方向”、是否记录日志、是否启用对该网站的防

服务创造价值

8

WAF实施方案

护，如下图：

选择网站的检查点，如下图：

以同样的方法完成其它网站的站点安全配置

3、上传“网站5”的SSL 网站证书

［WEB安全］→［站点安全］，选中网站5 https站点

服务创造价值 9

WAF实施方案

点“上传SSL密钥”，选择密钥文件(.key)，并上传

点“上传SSL 证书，选择证书文件（.ert），并上传

5.4. 日志配置

［日志系统］→［日志配置］，启用本地日志，如下图

服务创造价值 10

WAF实施方案

5.5. IIS插件的安装

部署HD-WAF后，IIS服务器需要借助ISAPI插件来完成对X-Forwarded-For的远实客户端的IP提取，否则IIS日志中记录的都是HD-WAF的IP。同时无须对IIS日志属性做修改。安装过程如下：

1、 从HD-WAF上下载X-Forwarded-For插件 https://HD-WAF ip /reallog.dll

2、 点击站点属性，可对全局站点设置，也可对单个站点设置。本例针对全局设置为主，点击ISAPI筛选器选项卡（图-1）

图-1

3、 添加ISPAI（图-2），筛选器名称自定义，DLL文件必须在英文文件夹下

图-2

4、 确定，重启IIS服务器（图-3）

服务创造价值 11

WAF实施方案

图-3

5、 此时可以看到ISAPI的插件已经生效（图-4），即可访问网站并让IIS生成访问日志。

图-4

5.6. APACHE日志配置的修改

APACHE的服务器无需安装插件，只要更改下日志的配置，加入

X-Forwarder-For，即可识别到客户端的真实IP。

1、打开httpd.conf配置文件，找到日志配置模块，如下图：

LogFormat \"%h %l %u %t \\\"%r\\\" %>s %b \\\"%{Referer}i\\\" \\\"%{User-Agent}i\\\"\" combined LogFormat \"%h %l %u %t \\\"%r\\\" %>s %b\" common

服务创造价值 12

WAF实施方案

LogFormat \"%h %l %u %t \\\"%r\\\" %>s %b \\\"%{Referer}i\\\" \\\"%{User-Agent}i\\\" %I %O\" combinedio

CustomLog logs/access_log common 2、修改为：

LogFormat \"%{X-Forwarder-For}i %l %u %t \\\"%r\\\" %>s %b \\\"%{Referer}i\\\" \\\"%{User-Agent}i\\\"\" hd_waf

LogFormat \"%h %l %u %t \\\"%r\\\" %>s %b \\\"%{Referer}i\\\" \\\"%{User-Agent}i\\\"\" combined LogFormat \"%h %l %u %t \\\"%r\\\" %>s %b\" common

LogFormat \"%h %l %u %t \\\"%r\\\" %>s %b \\\"%{Referer}i\\\" \\\"%{User-Agent}i\\\" %I %O\" combinedio

SetEnvIf X-Forwarder-For \"^.*\\..*\\..*\\..*\" waf CustomLog logs/access_log combined env=!waf CustomLog logs/access_log hd_waf env=waf

5.7. 测试方法

HD-WAF部署完成后，可做一些简单的测试，判断HD-WAF是否已生效。

TELNET 受防护的网站，Telnet 网站后会有下图的提示信息，显示WAF的安全提示，说明WAF已开始生效。

查看HD-WAF上的访问日志，如果HD-WAF启用了记录访问日志选项，成

功部署后，访问网站，访问日志中可查到相关信息，如下图：

服务创造价值 13

WAF实施方案

尝试简单的攻击，在ASP网页，类似http://www.test.com/NewsShow.asp?id=15的URL后面加入 and 1=1 等注入语句，如果设置了阻断，将提示下面信息：

如果没有设置阻断，可查看攻击日志，会有报警信息：

服务创造价值 14