2024年1月11日发(作者:三万左右的新车)

实验报告

实验报告 22

课程名称

实验名称

姓名 学号

无线网络与安全技术

Web应用防火墙(WAF)部署

班级

【实验目的】

掌握WAF的多种部署模式用于不同的业务场景。

【实现功能】

透明代理模式串接部署,部署简单,即插即用,可广泛用于大部分业务场景;

反向代理模式可旁路部署,部署灵活,方便扩容,用于云环境、无法串接、集群部署的场景;

旁路监听模式可离线部署,部署时不影响在线业务,完成安全审计和告警,用于旁路审计场景;

路由模式扩展性强,一般用于大型数据中心场景;

透明桥模式串接部署,一般用于透明代理无法部署的场景。

【技术原理】

服务器

运维审计平台

WEB应用防火墙

数据库审计平台

E126B二层交换机

管理地址

192.168.0.1x7

192.168.0.1x2

192.168.0.1x3

192.168.0.1x4

互联了以上四台设备

连接了DMC 管理路由器交换机console

192.168.0.1x1

互联到整个教学用的局域网上 理线架21号口

【注意事项】

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。本文档假设您已了解WAF部署模式特性。

【参考资料】

实验报告

FTP中WAF视频介绍和PPT资料。

透明代理配置

部署特点:配置简便,用户容易上手;防护能力强,可防护难度较大的WEB攻击,如CSRF、Cookie篡改;故障恢复快,可支持硬件Bypass和软件Bypass。

部署场景:部署时不需要改变网络环境,串接部署即插即用,对于用户网络是透明的,WAF业务口不需要配置IP地址,可用于大多数业务场景。

组网需求:

验步骤及命Client2

令192.168.0.61

清单

Admin

:1

92

.

168

.

0

.

1X3

Admin口

GE1

GE2

WAF

DMZ

_

Switch

Web_

Server

192

.1

68.

1X1

0

.

Client1

192

.

168

.0

.4

3

Internet通过Firewall进行隔离,Firewal划分了DMZ区域,WAF串接在Firewall和DMZ交换机之间,WEB服务器连接到DMZ交换机。简单起见我们将Internet和Firewall简化成为一台PC机。

要求WAF对DMZ交换机下的WEB服务器192.168.0.1X1进行防护,防止SQL注入、跨站脚本、Webshell上传等WEB攻击。

实验报告

管理员(192.168. 0.43)可远程登录和管理WAF设备(192.168.0.1x3)。

Client1不需要连接,利用本地连接1即可连通。Client2禁用本地连接1,用本地连接2连到WAF。

图中Client1、Client2的IP以本组实际为准。IP中的x的值取各组序号1-6。

步骤1

连接拓扑与上图保持一致。验证连通性。

在Client2上ipconfig /all

在Client2上ping 192.168.0.1x3

在Client2上打开IE浏览器访问 192.168.0.1x3

实验报告

步骤2部署模式切换到透明代理模式。

WAF默认部署方式为透明代理,可通过[配置/全局配置]查看防护站点的部署方式,确认是否为透明代理模式,如0所示。如是则直接执行下一步,如不是则切换到透明代理模式。

H3CWAF透明代理模式切换图

点击[配置/防护站点/新增防护站点],按照0输入防护站点名称、IP地址、端口等信息,将配置保存,完成站点部署。

实验报告

防护站点添加图

把“智能防护”和“访问审计”的不启用改为启用。

实验报告

在透明代理模式部署下,防护站点配置参数说明如0所示。

透明代理模式-防护站点配置参数说明表

参数名称

防护站点名称

IP地址

端口

策略规则

接入链路

长连接

参数说明

指保护目标网站的名称,可以填IP或主机名。

指保护目标网站的IP地址。

指保护目标网站的TCP端口,如80。

指保护目标网站所应用的规则。

指保护目标网站的物理链路,如Protect1。

指保护目标网站所使用的连接保持方式,如长连接(HTTP1.1协议)、短连接(HTTP1.0协议),建议将长连接启用。

智能防护 指对攻击者进行跟踪及防护,对于采用穷举攻击、扫描攻击的用户进行短暂的IP锁定。

访问控制 指对保护目标网站访问控制功能,默认只勾选原始地址,如部署在HTTP代理设备的环境(如F5、SSL网关)中建议勾选X-Forwarded-For选项,X-Forwarded-For指代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。

实验报告

访问审计 指对保护目标网站是否开启访问审计功能,对用户的正常访问记录并形成审计报表,开启后会占用大量磁盘空间,不建议开启。

HTTPS/SSL加解密

Web加速及防篡改

HTTP响应头操作

VLAN支持

指对HTTPS目标网站防护时,需要添加服务器的公钥和私钥。

指对保护目标网站是否开启Web缓存及防篡改功能。

指对服务器响应头部中的字段进行删除,防止服务器信息的泄露。

指对保护目标网站是否开启trunk支持,需要填写服务器所在的VLAN号,一般用于Trunk环境中。

防护站点 指是否需要将该配置进行保存和取消。

步骤3验证配置

完成上述配置后,可以执行如下操作验证WAF是否部署成功。

在Client2上ping 192.168.0.1x1

使用客户端Client2 192.168.0.61访问被保护对象,检查是否访问正常。

(1) 在Client2上打开IE浏览器访问 192.168.0.1x1

实验报告

使用客户端Client2 192.168.0.61模拟攻击,

在浏览器输入192.168.0.1x1/web/?id=1 and 1=1,查看被WAF拦截。

(3) 登录到H3C SecPath WAF管理平台,通过事件—应用防护查看告警日志,如错误!未找到引用源。所示。

实验报告

由于服务器上没有部署动态网站,(2),(3)测试效果无法实现了。

点击事件----》访问统计------》重新统计 可以观察web服务器被访问的情况。截图

实验报告

实验结果分析及总结

【总结记录】:实验过程中你所遇到的问题、困难,以及最终如何理解和解决的办法。

日期:2019年2月4日

指导教师签字: 刘志丹

更多推荐

部署,配置,防护,网站,模式,目标