梭子鱼Web应用防火墙
测试指南
目录
1 用户环境调查 (4)
1.1 网络拓扑图 (4)
1.2 地址信息 (4)
2 设备介绍 (5)
2.1 型号介绍 (5)
2.1.1 WAF360 (5)
2.1.2 WAF460 (5)
2.1.3 WAF660 (6)
2.1.4 WAF860 (7)
2.1.5 WAF960 (8)
2.2 初始配置 (9)
2.2.1 安装前准备 (9)
2.2.2 物理连接 (9)
2.2.3 配置网络 (9)
3 部署方式 (11)
3.1 单臂模式 (11)
3.2 桥接模式 (12)
3.3 双臂模式 (12)
4 详细配置 (14)
4.1 激活及基本配置 (14)
4.1.1 激活 (14)
4.1.2 更新Firmware (14)
4.1.3 基本配置 (15)
4.2 服务配置 (17)
4.2.1 服务的定义 (17)
4.2.2 HTTP服务配置 (17)
4.2.3 HTTPS服务配置 (17)
4.2.4 添加真实服务器 (18)
4.2.4 其他重要配置 (19)
4.3 安全策略配置 (20)
4.3.1 添加或删除安全策略 (21)
4.3.2 安全策略修改 (21)
4.3.3 HTTP请求限制 (22)
4.3.4 Cookie防护 (23)
4.4.5 URL防护 (23)
4.4.6 参数防护 (24)
4.5 配置文件备份 (26)
4.6 集群配置 (26)
4.7 IP Reputation(IP信誉) (27)
4.8 日志 (28)
4.8.1 过滤日志 (28)
4.8.2 访问日志 (31)
4.8.3 系统管理日志 (31)
4.9 报表管理 (31)
5 常见问题处理 (33)
5.1 梭子鱼远程支持 (33)
5.2 网络连接测试工具 (34)
5.3 TCP Dump (34)
附录 (35)
如何通过火狐插件了解WEB应用的内容类型? (35)
1 用户环境调查
1.1 网络拓扑图
拿到用户的网络拓扑图,并进行仔细研究和用户的相关技术人员进行确认,这部分工作越详细越好,网络结构关系到部署方式的选择。
1.2 地址信息
用户应用服务器的数量?
应用服务器的IP地址、掩码、网关?
2 设备介绍
2.1 型号介绍
梭子鱼WAF共有了5个型号,分别是360、460、660、860、960。初始配置需要使用显示器和键盘连接设备,没有Console接口。
2.1.1 WAF360
指标参数
支持服务器数量 <=5
Web吞吐量 25Mbps
HTTP事务处理量/秒 3000
SSL事务处理量/秒 2000
Mini机架式
尺寸 1U
电源单电AC,1.2A
Copper,1个管理接口
接口 2*10/100
功能特性● HTTP/S, FTP协议验证
●表单数据验证
●站点隐藏
●响应控制
●出站数据DLP
●文件上传控制
●日志、监控、报表
●双机(Active/Standby)
● SSL卸载
●认证和授权
●漏洞扫描集成
●集中管理
●客户端IP信誉
●集成网络防火墙
●Web攻击防护
2.1.2 WAF460
指标参数
支持服务器数量 <=10
Web吞吐量 50Mbps
HTTP事务处理量/秒 6000
SSL事务处理量/秒 4000
Mini机架式
尺寸 1U
电源单电AC,1.4A
Copper,1个管理接口接口 2*1Gigabit 功能特性● HTTP/S, FTP协议验证
●表单数据验证
●站点隐藏
●响应控制
●出站数据DLP
●文件上传控制
●日志、监控、报表
●双机(Active/Standby)
● SSL卸载
●认证和授权
●漏洞扫描集成
●集中管理
●客户端IP信誉
●集成网络防火墙
●Web攻击防护
●缓存和压缩
●LDAP/RADIUS
●负载均衡
●内容路由
2.1.3 WAF660
指标参数
支持服务器数量 <=25
Web吞吐量 100Mbps
HTTP事务处理量/秒 10000
SSL事务处理量/秒 6000
全尺寸机架式
尺寸 1U
电源单电AC,1.8A
Copper,1个管理接口接口 2*1Gigabit 功能特性● HTTP/S, FTP协议验证
●表单数据验证
●站点隐藏
●响应控制
●出站数据DLP
●文件上传控制
●日志、监控、报表
●双机热备(Active/Standby, Active/Active)
● SSL卸载
●认证和授权
●漏洞扫描集成
●集中管理
●客户端IP信誉
●集成网络防火墙
●Web攻击防护
●缓存和压缩
●LDAP/RADIUS
●负载均衡
●内容路由
●ECC内存
●自适应功能
●上传文件病毒扫描
●XML防火墙
●高级路由功能
2.1.4 WAF860
指标参数
支持服务器数量 <=150
Web吞吐量 600Mbps
HTTP事务处理量/秒 25000
SSL事务处理量/秒 12000
全尺寸机架式
尺寸 2U
电源冗余电源AC,4.1A
Copper或
接口 2*1Gigabit
2*1GigabitFiber(型号为862)
一个管理接口
功能特性● HTTP/S, FTP协议验证
●表单数据验证
●站点隐藏
●响应控制
●出站数据DLP
●文件上传控制
●日志、监控、报表
●双机热备(Active/Standby, Active/Active)
● SSL卸载
●认证和授权
●漏洞扫描集成
●集中管理
●客户端IP信誉
●集成网络防火墙
●Web攻击防护
●缓存和压缩
●LDAP/RADIUS
●负载均衡
●内容路由
●ECC内存
●自适应功能
●上传文件病毒扫描
●XML防火墙
●高级路由功能
2.1.5 WAF960
指标参数
支持服务器数量 <=300
Web吞吐量 1Gbps
HTTP事务处理量/秒 55000
SSL事务处理量/秒 20000
全尺寸机架式
尺寸 2U
电源冗余电源AC,5.4A
Copper或
接口 2*1Gigabit
2*1GigabitFiber(型号为962)
一个管理接口
功能特性● HTTP/S, FTP协议验证
●表单数据验证
●站点隐藏
●响应控制
●出站数据DLP
●文件上传控制
●日志、监控、报表
●双机热备(Active/Standby, Active/Active)
● SSL卸载
●认证和授权
●漏洞扫描集成
●集中管理
●客户端IP信誉
●集成网络防火墙
●Web攻击防护
●缓存和压缩
●LDAP/RADIUS
●负载均衡
●内容路由
●ECC内存
●自适应功能
●上传文件病毒扫描
●XML防火墙
●高级路由功能
2.2 初始配置
2.2.1 安装前准备
●检查型号是否正确
●检查电源线
●以太网线(包括光纤)
●VGA显示器
●键盘
2.2.2 物理连接
1、把VGA显示器和键盘与梭子鱼WAF设备进行正确连接;
2、连接电源线;
3、按设备前面板的电源按钮开机。
2.2.3 配置网络
梭子鱼WAF具有3个接口,一个叫WAN,一个叫LAN,另一个叫管理口,都有相应的标记。一般情况下WAN口是上连口,LAN是用来连接后端服务器所在网络。默认状态下WAN口的地址为192.168.200.200。
当系统启动完成进入如下登录界面后:
使用admin用户登录,密码为admin。
登录完成后会进入配置界面,在配置界面配置IP地址、默认网关、DNS,然后保存。如下图所示:
如果梭子鱼WAF位于网络防火墙之后,需要在防火墙上开启下列端口:
端口方向 TCP UDP 用途
22 out Yes No 远程技术支持
80 out Yes No 升级
123 Out No Yes NTP时间同步
3 部署方式
梭子鱼应用防火墙部署简便灵活,共有3种部署方式,分别为单臂模式、双臂模式、桥接模式。三种模式各有优缺点,建议一般情况下使用单臂模式,新建系统可以采用双臂模式,网络结构简单的可以采用桥接模式。以详细配置中会根据部署模式不同而导致的配置不同的地方会做特殊说明。
3.1 单臂模式
单臂模式是目前为止用于产品测试的最透明和最简单的方式,不会影响网络中的其他流量。在单臂模式下,只有HTTP和HTTPS流量会被指到WAF,WAF处于DMZ区。WAF检查这些流量,转发给服务器,记录所有违背安全策略的行为。单臂模式是一种让用户“进入”第7层安全应用的方便的方法。单臂模式下只使用WAN口把WAF连接进网络,LAN不使用也不要配置IP地址,设备本身的流量会减半。
3.2 桥接模式
桥模式是指在两台运行的设备中间插入梭子鱼Web应用防火墙,但是对流量并不产生任何影响。在桥模式下,控制器阻断第7层的应用攻击,但是让其他的流量通过。桥模式是部署最为简便的方式。桥模式是透明的,所以不会干预任何网络中的设备。然而,某些功能在桥模式下是无法启用的,比如负载均衡,内容交换和网络防火墙。桥接模式下WAN和LAN都会使用,WAN口和LAN必须在不同物理交换机上,WAN配置IP地址,LAN不配置。
桥模式下不支持的功能:
?网络防火墙 (如 ACL,NAT, 路由等功能)
?负载均衡
?TCP连接复用
?OOB检测(带外健康检查)
3.3 双臂模式
代理模式为您的应用结构提供了最高程度的保护。然而,这种模式要求应用的IP地址在控制器的控制
之下。这种模式通常在数据中心与系统相兼容并且已准备好作为代理设备的情况下使用。双臂模式下,WAN 口和LAN都需要配置IP地址。
4 详细配置
4.1 激活及基本配置
4.1.1 激活
当配置好IP地址并把设备连接进网络后,请确保设备可以连接Internet,因为设备在进行下一步配置之前必须进行激活,激活需要设备可以访问Internet。
上述准备工作完成后就可以通过Web界而访问设备。在浏览器的地址栏输入设备的WAN口地址,默认端口为8000,请注意不是80,例如:http://192.168.200.200:8000。
进入登录界面后可使用admin/admin进行登录,即用户名和密码都是admin,这是系统的默认值,稍后可做修改。界面如下所示:
第一次登录时会提示进行激活,会有如下提示:
点击click here to activate后会弹出设备激活页面,在此页面输入相关信息(如果是测试的话请输入贵公司的相关信息或客户的相关信息)后,点击Activate进行激活。
4.1.2 更新Firmware
选择高级设置菜单下的系统升级菜单,点击进行升级界面。
点击上图中的立即下载按钮(如果当前的firmware 是最新,这个按钮将是灰色,不能使用),下载完成后此按钮会显示为立即适用,点击立即适用后系统将开始进行更新并进行重启,重启完成后会再次进入登录界面。
4.1.3 基本配置
1、从基本设备菜单进入IP 设置界面,如下图所示:
如果是双臂模式请对LAN 口进行配置:
在运行模式项选择运行模式,默认情况下是代理模式,需要说明的是单臂模式和双臂模式都是代理模式,如果采用的是桥接模式进行部署,则在此处要选择桥模式,如下图所示:
Provide the Activation code provided to activate the unit
Upgrade the Firmware on the box if a newer one is available
从基本设置菜单进入系统管理菜单界面:
在此配置页面可以更改系统管理员admin的密码:
更改时区设置,在下拉菜单中选正确的时区:
选择默认语言编码:
如果需要重启设备或关机:
4.2 服务配置
4.2.1 服务的定义
服务由一个虚拟IP地址(VIP)和一个TCP端口组成,数据流量到达的是这个地址和端口,也就是说客户端访问的是这个地址和端口。服务基本上分为HTTP和HTTPS两大类型。桥接模式下服务的VIP和后端服务器的真实IP一样。
4.2.2 HTTP服务配置
1、代理模式下的服务配置:
如下图所示,在基本设置下的服务菜单下的添加新服务项下进行服务的添国操作。
在服务名称栏输入服务的名称,例如web,注意此处不接受中文;
在应用类型下拉菜单选择HTTP;
在虚拟IP地址栏输入IP地址,注意此处的IP地址必须与WAN口的IP地址在同一个网段;
在端口栏下输入端口号;
真实服务器栏现在可以不填写,可以在服务添加完成后添加。
2、桥接模式下服务的配置
桥接模式下与代理模式下的服务配置不同,桥模式下虚拟IP地址和真实服务器的IP地址相同,例如后端真实服务器的IP地址为192.168.200.1,那虚拟IP地址也要配置为192.168.200.1。
4.2.3 HTTPS服务配置
如果需要配置HTTPS服务,首先需要把相关证书上传至梭子鱼WAF设备。
在基本设置下的证书管理菜单下进行相关操作,如下图所示,可以自制证书,可以上传证书。
证书上传完成后,服务的配置步骤同HTTP服务的添加步骤类似,在应用类型下拉菜单中选择HTTPS,端口一般使用443,在证书下拉菜单选择证书。如下图所示:
4.2.4 添加真实服务器
添加完服务后可以对服务进行配置,包括添加或移除服务器等。
第一步:在基本设置>服务>服务下会显示所有服务的列表,在这个列表中可以进行真实服务器的相关操作。如下图所示:
第二步:每个服务条目后都有一个“服务器”菜单,点击进行服务器添加操作,如下图所示:
点击后会弹出一个窗口,如下图所示,在窗口中输入相关信息。注意备份服务器选项处默认是否,请使用此默认选项除非这台服务器作为备份服务器使用,备份服务器会在所有其他服务全部不可用时自动启用。
4.2.4 其他重要配置
除上述配置外还有一些地方需要注意。每个服务条目后都有一个“编辑”菜单,点击此菜单会弹出一个窗口,在弹出的窗口中可以对服务进行更详细的设置,在这些设置有两处需要注意。
可以更改服务的端口,如下图所示:
可以更改安全策略(新建的服务都会马上受到默认安全策略的保护,安全策略可以定制,请参见相关章节文档),如下图所示:
可以更改防护模式,主动模式表示进行防护动作,被动模式表示不进行防护动作,只进行记录。如下图所示:
4.3 安全策略配置
安全策略配置是通过安全策略菜单项的各个子菜单进行配置,如下图所示: