#原创分享#新版云WAF3.0首测分享
  

朱容成51537 24174人觉得有帮助

{{ttag.title}}
本帖最后由 朱容成51537 于 2021-5-11 11:25 编辑

一:云安全现状
大家都知道,以前我们AF只有网桥、路由、网路模式部署。网桥、路由模式是流量经过AF,检测到攻击后进行拦截,旁路模式需要镜像业务流量,检测到攻击后发送RST报文进行阻断拦截。而现在有很多客户的业务都部署在公有云环境下。如果想在云环境中部署vAF进行防护且不改动网络拓扑,大部分云厂家的云平台都不支持平台中镜像流量。无法满足客户需求。
二: 首先我们先了解一下新版云WAF3.0
简单一句话概括就是,我们的云WAF支持反向代理部署!类似与我们的AD的应用负载。
三:客户需求背景
某医疗客户租用了大量运营商提供的云服务器作为web业务承载,但是云服务平台只有简单的访问控制功能,云服务器的业务端口直接暴漏公网,缺乏有效web应用防护能力,使得业务经常遭受攻击。云平台运营商希望能够在不改变云端网络的情况下,为客户的业务提供有效的web防护能力
181596099f7d790e08.png


四:云WAF解决方案
使用云WAF反向代理模式部署,用WAF的代理功能将所有的业务进行代理,对外发布虚拟服务,隐藏真实服务地址,提高业务安全性。且只需要1个公网IP地址,节省了大量公网IP宝贵资源。用户所有的访问均经过WAF进行代理访问,真实业务得到有效防护。云平台完全不需要修改任何网络配置,用户只需要将业务域名指向云WAF即可。
386646099f7e1735d8.png
122296099f7e60154f.png


五:安装部署
1.我们云WAF是利用docker容器安装在linux上的,因此部署前需要向用户请求在云平台中创建一台CentOS7.3以上版本的宿主机用于安装WAF
云WAF3.0虚拟机推荐配置请参考如下表。


  
逻辑CPU个数
  
内存
硬盘
应用层吞吐
  
2核
  
4G
100G
100M
  
2核
  
4G
100G
200M
  
4核
  
8G
100G
400M
  
4核
  
8G
100G
800M
  
8核
  
16G
100G
1600M


注意:磁盘必须大于80G,且挂载到“/”根目录。
授权:必须按照几cg选择授权,否则授权失败。
2c4g   选授权v100 v200
4c8g  选授权v400 v800
8c16G 选授权v1600
简单的环境需求总结如下:
1.提供一台CentOS7.3以上的宿主机,用于安装vWAF,配置需求参考上表
2.提供一台跳板机提供远程,并能否访问CentOS7.3以上宿主机,用于远程安装vWAF
3.宿主机网络能够访问到需要WAF防护的业务,用于反向代理
4.宿主机需要能够访问互联网,用于在线获取测试授权、安装Docker环境等
5.用户需要能访问宿主机网络,用于用户访问被waf代理防护的业务
2.获得宿主机后,首先我们需要安装Docker环境
1)安装yum-utils。
yum install -y yum-utils

2)设置yum源

3)安装最新版本docker
yum install docker-ce docker-ce-clicontainerd.io -y
4)安装完成后,启动docker
systemctl start docker
5)Centos安装解压工具
yum install zip unzip -y
6)将docker化waf安装包WAF8.0.28(20210429).pkg拷贝到centos操作系统目录。然后执行chmod赋予权限
chmod +x WAF8.0.28(20210429).pkg
7)安装WAF
./ WAF8.0.28(20210429).pkg
报错:Don't support this device configuration
732136099f7ffc47bc.png


出现这个报错是因为宿主机的规格没有按照WAF的要求提供,输入以下命令查看CPU和内存:
free -m | grep "^Mem" | awk'{print $2}'
606336099f80bd193a.png


cat /proc/cpuinfo |grep"processor"|wc -l
503716099f81627164.png


可以看到,客户给了16C8G的规格,给反了

调整规格后重新安装,提示8C16G,并可继续安装
205866099f821de63c.png


8)执行docker ps 查看waf3.0是否已启动。
279066099f82c4dbee.png


至此WAF的部署就完成了,非常简单,接下来可以直接用宿主机的IP:4431登陆WAF,默认密码**/**


六:配置代理防护
1.配置节点池
输入web服务器的真实内网IP地址与端口
887566099f83c52049.png


2.配置前置策略
将业务对应的公网域名与调度的节点池对应
988016099f845036f4.png


3.虚拟服务配置
创建虚拟服务,并应用前置调度策略
395546099f84e10fc9.png


4.Web应用防护配置
新建web应用防护模版
229626099f856468f3.png


5.WEB应用防护策略
创建应用防护策略
147166099f85e01403.png


接下来,只需要让客户将业务的域名的A记录指向WAF的公网IP就可以啦,也可以本机写host进行测试


七:防护效果测试
尝试对业务进行一些注入行为进行测试
631086099f86bb0a93.png


被WAF拦截
444396099f87465dd1.png
查看WAF拦截记录,可以看到检测到SQL注入语句并进行了拦截,成功对业务进行防护!
949516099f87d398b4.png

打赏鼓励作者,期待更多好文!

打赏
22人已打赏

水之蓝色 发表于 2021-5-11 16:25
  
感谢分享,学习了!!!!!!!!!!!!!!!
会飞的癞蛤蟆 发表于 2021-5-12 15:10
  
将业务的域名的A记录指向WAF的公网IP就可以
航嘉电脑门诊 发表于 2021-5-12 15:10
  
云WAF支持反向代理部署!类似与我们的AD的应用负载。
沧海 发表于 2021-5-12 15:44
  
感谢分享,学习了!!!!!!!!!!!!!!!
暗夜星空 发表于 2021-5-17 10:19
  
坚持每日学习打卡
DN 发表于 2021-5-17 16:05
  
技术大牛!学习了。。。。。。。。。。。。。
ychunk 发表于 2021-5-18 09:13
  
学习了,现在设备功能越来越多了
凡鸟末世 发表于 2021-5-18 09:31
  
不错的分享,学习到了
乔。 发表于 2021-5-18 11:18
  
  AD 的影子。。。
发表新帖
热门标签
全部标签>
GIF动图学习
每日一问
信服课堂视频
技术笔记
项目案例
在线直播
技术咨询
产品连连看
技术圆桌
新版本体验
功能体验
专家分享
安装部署配置
原创分享
SDP百科
每日一记
SANGFOR资讯
标准化排查
畅聊IT
答题自测
授权
安全攻防
专家问答
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
技术顾问
信服故事
功能咨询
终端接入
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本

本版版主

396
87
58

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

新手58573...

本周分享达人

新手58573...

本周提问达人