文章目录
一.部署模式
串联模式
配置步骤
HTTPS站点准备工作:获取网站服务器的密钥文件和证书文件,在“系统 > PKI > 证书链”页面新建证书链,将已获取到的密钥文件和证书文件,导入到证书链中
步骤一:按照WAF安装向导,选择串联部署方式及接口配置
初次访问WAF设备时,可访问设备的默认管理口 IP(192.168.1.1),登录 WebUI管理然后按 照“WAF安装向导”进行配置。
步骤二:按照WAF安装向导, 配置Virtual Wire。
步骤三:
按照WAF安装向导, 配置默认站点。
步骤四:按照WAF安装向导, 配置DNS。
按照当 前网络中的真实情况填 写,本示例中为 10.88.44.1
步骤五:按照WAF安装向导, 配置系统时间。
步骤六:新建站点,并配置安全策略对Web-Server进行安全防护。
二.站点
串联模式、牵引模式下支持HTTP和HTTPS默认站点,旁路监听模式、串联监 听模式下支持HTTP默认站点。
站点过滤
当系统配置的防护站点较多时,可点击“Web站点”页面的“过滤”按钮,下拉列表中选择过滤条件 并输入对应的过滤条件,进行站点搜索。过滤条件包括名称、类型、服务(IPv4)、域名、虚拟路由 器、SSL/TLS 证书链和描述
站点配置
点击“新建”按钮,打开<站点防护配置>页面。详细页面参考配置步骤6。
站点状态
|
防护状态
|
表示系统将按照站点上的配置对Web网站进行防护、健康检查及站点加速等。
|
|
转发状态
|
表示系统仅对去往站点的访问请求进行流量转 发,不再进行安全防护。
|
|
网站维护状态
|
表示站点正处于维护期间,系统将阻断去往 站点的访问请求。
|
服务
指定Web服务器网站的IP、IP范围、IPv4/掩码或者IPv6/前缀长度,同时指定服务的端口或端口范围,可添加一条或多条。
- WAF位于DMZ出口区一般配置一个IP对应一个端口
- WAF位于防火墙上面(防止防火墙配置了根据端口转化的Dnat)配置一个IP对应多个端口
站点自发现
仅在串联、串联监听、旁路监听及牵引部署模式下,系统可配置站点自发现功能。配置后,流量经过WAF后,WAF会自动检测流量中的HTTP/HTTPS流量,当发现前网络中的Web网站或服务,用户可将发现的网站一键添加到站点同时进行相应防护。
|
流量入接口
|
系统将检测该接口的入流量,用于发现Web站点,可指定多个。若不指定流量入接口时,默认发现所有接口的流量。
|
|
发现网段
| 指定自发现网段的流量,不指定默认检测所有流量 |
|
域名过滤
|
默认是关闭状态,系统将对网络环境中所有域名进行自发现,开启后系统对“域名过滤”中域名进行精准匹配和模糊匹配。
|
|
HTTPS站点发现
|
点击“HTTPS站点发现”的启用按钮。系统会对HTTPS流量进行检查,发现的HTTPS类型的Web网站或服务将显示在列表下方
|
|
自发现结果自动添加到
|
配置后,当Web网站被发现的次数达到指定值时,系统会自动将其加入到下方<默认站点服务>标签页,并启用默认站default中的防护功能。
|
三.策略
策略模块中的内容可以在站点配置中调用
IP防护策略
IP信誉防护
系统通过WAF IP信誉库中的特征规则,对访问站点的风险主机IP进行过滤。
特征库征集位置:
Geo IP防护
针对境外IP设置防护策略
防护例外
防护例外IP的流量可跳过IP防护策略的检测。
访问控制策略
访问控制策略通过HTTP请求方法、HTTP版本、URI路径及客户端IP等多个匹配条件,对站点的 HTTP/HTTPS请求进行过滤,然后进行访问控制,如阻断、接受或重定向。
|
HTTP方法
| |
扫一扫
1587
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
