实验报告22_Web应用防火墙(WAF)部署
实验报告 22
课程名称
无线网络与安全技术
实验名称
Web应用防火墙(WAF)部署
姓名
学号
班级
【实验目的】
掌握WAF的多种部署模式用于不同的业务场景。
【实现功能】
透明代理模式串接部署,部署简单,即插即用,可广泛用于大部分业务场景;
反向代理模式可旁路部署,部署灵活,方便扩容,用于云环境、无法串接、集部署的场景;
旁路监听模式可离线部署,部署时不影响在线业务,完成安全审计和告警,用于旁路审计场景;
路由模式扩展性强,一般用于大型数据中心场景;
透明桥模式串接部署,一般用于透明代理无法部署的场景。
【技术原理】 
管理地址
服务器
192.168.0.1x7
192.168.0.1x1
运维审计平台
192.168.0.1x2
WEB应用防火墙
192.168.0.1x3
数据库审计平台
192.168.0.1x4
E126B二层交换机
互联了以上四台设备
互联到整个教学用的局域网上  理线架21号口
正义之道 黄渤
连接了DMC 管理路由器交换机console
【注意事项】
    本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。本文档假设您已了解WAF部署模式特性。
【参考资料】
FTPWAF视频介绍和PPT资料。
实验步骤及命令清单
透明代理配置
部署特点:配置简便,用户容易上手;防护能力强,可防护难度较大的WEB攻击,如CSRFCookie篡改;故障恢复快,可支持硬件Bypass和软件Bypass
部署场景:部署时不需要改变网络环境,串接部署即插即用,对于用户网络是透明的,WAF业务口不需要配置IP地址,可用于大多数业务场景。
组网需求:
Internet通过Firewall进行隔离,Firewal划分了DMZ区域,WAF串接在FirewallDMZ交换机之间,WEB服务器连接到DMZ交换机。简单起见我们将InternetFirewall简化成为一台PC机。
要求WAFDMZ交换机下的WEB服务器192.168.0.1X1进行防护,防止SQL注入、跨站脚本、Webshell上传等WEB攻击。
管理员(192.168. 0.43)可远程登录和管理WAF设备(192.168.0.1x3)。
Client1不需要连接,利用本地连接1即可连通。Client2禁用本地连接1,用本地连接2连到WAF
图中Client1Client2IP以本组实际为准。IP中的x的值取各组序号1-6
步骤1 
连接拓扑与上图保持一致。验证连通性。
在Client2上ipconfig /all
在Client2上ping 192.168.0.1x3全球变暖英语作文
在Client2上打开IE浏览器访问 192.168.0.1x3
步骤2部署模式切换到透明代理模式。
WAF默认部署方式为透明代理,可通过[配置/全局配置]查看防护站点的部署方式,确认是否为透明代理模式,如图2所示。如是则直接执行下一步,如不是则切换到透明代理模式。
H3CWAF透明代理模式切换图
点击[配置/防护站点/新增防护站点],按照图3输入防护站点名称、IP地址、端口等信息,将配置保存,完成站点部署。
防护站点添加图
五一高速免费12点前上高速怎么算
把“智能防护”和“访问审计”的不启用改为启用。
凉拌银耳的做法
在透明代理模式部署下,防护站点配置参数说明如表1所示。
透明代理模式-防护站点配置参数说明表
咸鸭蛋保质期
参数名称
参数说明
防护站点名称
指保护目标网站的名称,可以填IP或主机名。
焦作美食IP地址
指保护目标网站的IP地址。
端口
指保护目标网站的TCP端口,如80
策略规则
指保护目标网站所应用的规则。
接入链路
指保护目标网站的物理链路,如Protect1
长连接
指保护目标网站所使用的连接保持方式,如长连接(HTTP1.1协议)、短连接(HTTP1.0协议),建议将长连接启用。
智能防护
指对攻击者进行跟踪及防护,对于采用穷举攻击、扫描攻击的用户进行短暂的IP锁定。
访问控制
指对保护目标网站访问控制功能,默认只勾选原始地址,如部署在HTTP代理设备的环境(如F5SSL网关)中建议勾选X-Forwarded-For选项,X-Forwarded-For指代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。
访问审计
指对保护目标网站是否开启访问审计功能,对用户的正常访问记录并形成审计报表,开启后会占用大量磁盘空间,不建议开启。
HTTPS/SSL加解密
指对HTTPS目标网站防护时,需要添加服务器的公钥和私钥。
Web加速及防篡改
指对保护目标网站是否开启Web缓存及防篡改功能。
HTTP响应头操作
指对服务器响应头部中的字段进行删除,防止服务器信息的泄露。
VLAN支持
指对保护目标网站是否开启trunk支持,需要填写服务器所在的VLAN号,一般用于Trunk环境中。
防护站点
指是否需要将该配置进行保存和取消。
步骤3验证配置
完成上述配置后,可以执行如下操作验证WAF是否部署成功。
在Client2上ping 192.168.0.1x1
使用客户端Client2 192.168.0.61访问被保护对象,检查是否访问正常。
(1) 在Client2上打开IE浏览器访问 192.168.0.1x1
使用客户端Client2 192.168.0.61模拟攻击,
在浏览器输入192.168.0.1x1/web/index.asp?id=1 and 1=1,查看被WAF拦截。
(3) 登录到H3C SecPath WAF管理平台,通过事件应用防护查看告警日志,如图6所示。
由于服务器上没有部署动态网站,(2),(3)测试效果无法实现了。
点击事件----》访问统计------》重新统计 可以观察web服务器被访问的情况。截图
实验结果分析及总结
【总结记录】:实验过程中你所遇到的问题、困难,以及最终如何理解和解决的办法。
日期:2019年2月4日
指导教师签字: 刘志丹                 

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。