本帖最后由 朱容成51537 于 2021-5-11 11:25 编辑
一:云安全现状大家都知道,以前我们AF只有网桥、路由、网路模式部署。网桥、路由模式是流量经过AF,检测到攻击后进行拦截,旁路模式需要镜像业务流量,检测到攻击后发送RST报文进行阻断拦截。而现在有很多客户的业务都部署在公有云环境下。如果想在云环境中部署vAF进行防护且不改动网络拓扑,大部分云厂家的云平台都不支持平台中镜像流量。无法满足客户需求。 二: 首先我们先了解一下新版云WAF3.0简单一句话概括就是,我们的云WAF支持反向代理部署!类似与我们的AD的应用负载。 三:客户需求背景某医疗客户租用了大量运营商提供的云服务器作为web业务承载,但是云服务平台只有简单的访问控制功能,云服务器的业务端口直接暴漏公网,缺乏有效web应用防护能力,使得业务经常遭受攻击。云平台运营商希望能够在不改变云端网络的情况下,为客户的业务提供有效的web防护能力
四:云WAF解决方案使用云WAF反向代理模式部署,用WAF的代理功能将所有的业务进行代理,对外发布虚拟服务,隐藏真实服务地址,提高业务安全性。且只需要1个公网IP地址,节省了大量公网IP宝贵资源。用户所有的访问均经过WAF进行代理访问,真实业务得到有效防护。云平台完全不需要修改任何网络配置,用户只需要将业务域名指向云WAF即可。
五:安装部署1.我们云WAF是利用docker容器安装在linux上的,因此部署前需要向用户请求在云平台中创建一台CentOS7.3以上版本的宿主机用于安装WAF 云WAF3.0虚拟机推荐配置请参考如下表。
注意:磁盘必须大于80G,且挂载到“/”根目录。 授权:必须按照几c几g选择授权,否则授权失败。 2c4g 选授权v100 v200 4c8g 选授权v400 v800 8c16G 选授权v1600 简单的环境需求总结如下: 1.提供一台CentOS7.3以上的宿主机,用于安装vWAF,配置需求参考上表 2.提供一台跳板机提供远程,并能否访问CentOS7.3以上宿主机,用于远程安装vWAF 3.宿主机网络能够访问到需要WAF防护的业务,用于反向代理 4.宿主机需要能够访问互联网,用于在线获取测试授权、安装Docker环境等 5.用户需要能访问宿主机网络,用于用户访问被waf代理防护的业务 2.获得宿主机后,首先我们需要安装Docker环境 1)安装yum-utils。 yum install -y yum-utils
2)设置yum源
3)安装最新版本docker yum install docker-ce docker-ce-clicontainerd.io -y 4)安装完成后,启动docker systemctl start docker 5)Centos安装解压工具 yum install zip unzip -y 6)将docker化waf安装包WAF8.0.28(20210429).pkg拷贝到centos操作系统目录。然后执行chmod赋予权限 chmod +x WAF8.0.28(20210429).pkg 7)安装WAF ./ WAF8.0.28(20210429).pkg 报错:Don't support this device configuration
出现这个报错是因为宿主机的规格没有按照WAF的要求提供,输入以下命令查看CPU和内存: free -m | grep "^Mem" | awk'{print $2}'
cat /proc/cpuinfo |grep"processor"|wc -l
可以看到,客户给了16C8G的规格,给反了
调整规格后重新安装,提示8C16G,并可继续安装
8)执行docker ps 查看waf3.0是否已启动。
至此WAF的部署就完成了,非常简单,接下来可以直接用宿主机的IP:4431登陆WAF,默认密码**/**
六:配置代理防护1.配置节点池 输入web服务器的真实内网IP地址与端口
2.配置前置策略 将业务对应的公网域名与调度的节点池对应
3.虚拟服务配置 创建虚拟服务,并应用前置调度策略
4.Web应用防护配置 新建web应用防护模版
5.WEB应用防护策略 创建应用防护策略
接下来,只需要让客户将业务的域名的A记录指向WAF的公网IP就可以啦,也可以本机写host进行测试
七:防护效果测试尝试对业务进行一些注入行为进行测试
被WAF拦截 查看WAF拦截记录,可以看到检测到SQL注入语句并进行了拦截,成功对业务进行防护! | 
发表于 2021-7-21 09:37
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员3级 
