×

#原创分享#新版云WAF3.0首测分享
  

朱容成51537 1766910人觉得有帮助

{{ttag.title}}
本帖最后由 朱容成51537 于 2021-5-11 11:25 编辑

一:云安全现状
大家都知道,以前我们AF只有网桥、路由、网路模式部署。网桥、路由模式是流量经过AF,检测到攻击后进行拦截,旁路模式需要镜像业务流量,检测到攻击后发送RST报文进行阻断拦截。而现在有很多客户的业务都部署在公有云环境下。如果想在云环境中部署vAF进行防护且不改动网络拓扑,大部分云厂家的云平台都不支持平台中镜像流量。无法满足客户需求。
二: 首先我们先了解一下新版云WAF3.0
简单一句话概括就是,我们的云WAF支持反向代理部署!类似与我们的AD的应用负载。
三:客户需求背景
某医疗客户租用了大量运营商提供的云服务器作为web业务承载,但是云服务平台只有简单的访问控制功能,云服务器的业务端口直接暴漏公网,缺乏有效web应用防护能力,使得业务经常遭受攻击。云平台运营商希望能够在不改变云端网络的情况下,为客户的业务提供有效的web防护能力


四:云WAF解决方案
使用云WAF反向代理模式部署,用WAF的代理功能将所有的业务进行代理,对外发布虚拟服务,隐藏真实服务地址,提高业务安全性。且只需要1个公网IP地址,节省了大量公网IP宝贵资源。用户所有的访问均经过WAF进行代理访问,真实业务得到有效防护。云平台完全不需要修改任何网络配置,用户只需要将业务域名指向云WAF即可。


五:安装部署
1.我们云WAF是利用docker容器安装在linux上的,因此部署前需要向用户请求在云平台中创建一台CentOS7.3以上版本的宿主机用于安装WAF
云WAF3.0虚拟机推荐配置请参考如下表。


  
逻辑CPU个数
  
内存
硬盘
应用层吞吐
  
2核
  
4G
100G
100M
  
2核
  
4G
100G
200M
  
4核
  
8G
100G
400M
  
4核
  
8G
100G
800M
  
8核
  
16G
100G
1600M


注意:磁盘必须大于80G,且挂载到“/”根目录。
授权:必须按照几cg选择授权,否则授权失败。
2c4g   选授权v100 v200
4c8g  选授权v400 v800
8c16G 选授权v1600
简单的环境需求总结如下:
1.提供一台CentOS7.3以上的宿主机,用于安装vWAF,配置需求参考上表
2.提供一台跳板机提供远程,并能否访问CentOS7.3以上宿主机,用于远程安装vWAF
3.宿主机网络能够访问到需要WAF防护的业务,用于反向代理
4.宿主机需要能够访问互联网,用于在线获取测试授权、安装Docker环境等
5.用户需要能访问宿主机网络,用于用户访问被waf代理防护的业务
2.获得宿主机后,首先我们需要安装Docker环境
1)安装yum-utils。
yum install -y yum-utils

2)设置yum源

3)安装最新版本docker
yum install docker-ce docker-ce-clicontainerd.io -y
4)安装完成后,启动docker
systemctl start docker
5)Centos安装解压工具
yum install zip unzip -y
6)将docker化waf安装包WAF8.0.28(20210429).pkg拷贝到centos操作系统目录。然后执行chmod赋予权限
chmod +x WAF8.0.28(20210429).pkg
7)安装WAF
./ WAF8.0.28(20210429).pkg
报错:Don't support this device configuration


出现这个报错是因为宿主机的规格没有按照WAF的要求提供,输入以下命令查看CPU和内存:
free -m | grep "^Mem" | awk'{print $2}'



cat /proc/cpuinfo |grep"processor"|wc -l


可以看到,客户给了16C8G的规格,给反了

调整规格后重新安装,提示8C16G,并可继续安装


8)执行docker ps 查看waf3.0是否已启动。


至此WAF的部署就完成了,非常简单,接下来可以直接用宿主机的IP:4431登陆WAF,默认密码**/**


六:配置代理防护
1.配置节点池
输入web服务器的真实内网IP地址与端口


2.配置前置策略
将业务对应的公网域名与调度的节点池对应


3.虚拟服务配置
创建虚拟服务,并应用前置调度策略


4.Web应用防护配置
新建web应用防护模版


5.WEB应用防护策略
创建应用防护策略


接下来,只需要让客户将业务的域名的A记录指向WAF的公网IP就可以啦,也可以本机写host进行测试


七:防护效果测试
尝试对业务进行一些注入行为进行测试


被WAF拦截
查看WAF拦截记录,可以看到检测到SQL注入语句并进行了拦截,成功对业务进行防护!

打赏鼓励作者,期待更多好文!

打赏
34人已打赏

水之蓝色 发表于 2021-5-11 16:25
  
感谢分享,学习了!!!!!!!!!!!!!!!
会飞的癞蛤蟆 发表于 2021-5-12 15:10
  
将业务的域名的A记录指向WAF的公网IP就可以
航嘉电脑门诊 发表于 2021-5-12 15:10
  
云WAF支持反向代理部署!类似与我们的AD的应用负载。
沧海 发表于 2021-5-12 15:44
  
感谢分享,学习了!!!!!!!!!!!!!!!
暗夜星空 发表于 2021-5-17 10:19
  
坚持每日学习打卡
DN 发表于 2021-5-17 16:05
  
技术大牛!学习了。。。。。。。。。。。。。
ychunk 发表于 2021-5-18 09:13
  
学习了,现在设备功能越来越多了
凡鸟末世 发表于 2021-5-18 09:31
  
不错的分享,学习到了
乔。 发表于 2021-5-18 11:18
  
  AD 的影子。。。
发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
自助服务平台操作指引
标准化排查
秒懂零信任
技术晨报
安装部署配置
原创分享
排障笔记本
玩转零信任
排障那些事
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
社区新周刊
POC测试案例
全能先锋系列
云化安全能力

本版版主

1
3
10

发帖

粉丝

关注

396
142
63

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

0
1
0

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人