环境描述: 客户的网站服务器部署在一个西部数码的虚拟化平台,网站直接使用的公网地址进行网络访问,通过深信服云眼对网站进行漏洞探测和扫描,发现该网站存在高危漏洞198、中威漏洞61,存在很大的安全隐患。相关信息入下图所示。 准备工作: 1. 准备云WAF的镜像文件。 2. 虚拟化云waf虚拟机配置CPU=4核、内存=8G、硬盘=100G,满足可以800M的网络吞吐量,操作系统支持centos7/8,虚拟化导入支持OVA,qcow2。 3. 提供一个公网IP地址给云WAF平台。 施步步骤: 1. 登录宝塔将waf的OVA镜像部署在该平台上面,选择合适的虚拟机配置。 2. 部署完毕之后登录西部数码平台就可以发现虚拟机部署完毕。 3. 由于网站的地址和waf的地址都是公网IP直接访问,用户访问waf然后通过代理再去访问真实的业务地址。 4. 客户是通过域名访问网站,用户不知道网站的真实地址,所以就需要将域名解析指向waf,再由waf去代理请求真实的网站服务,从而达到安全防护的效果。 5. 配置节点池和前置调度策略。
6. 配置完成之后waf就能代理去访问真实的业务网站。但是由于网站是https,做了代理之后网站是不受信,需要网站的证书。
7. 证书导入之后,访问网站正常。 结果反馈: 部署完毕之后,再次进行漏洞扫描得出以下结果。 通过沟通网站厂家进行漏洞修复。 |