登錄

歡迎userBOB登陆 退出

簡體中文

  • 產品與解決方案
  • 行業解決方案
  • 服務
  • 支持
  • 合作夥伴
  • 關於我們

09-典型配置舉例

目錄

25-Web應用防護典型配置舉例

本章節下載 25-Web應用防護典型配置舉例  (194.10 KB)

25-Web應用防護典型配置舉例

Web應用防護典型配置舉例

本章包含如下內容:

·     簡介

·     配置前提

·     使用限製

·     配置舉例

簡介

 

本文檔介紹Web應用防護功能的典型配置舉例。

 

本文檔不嚴格與具體軟、硬件版本對應,如果使用過程中與產品實際情況有差異,請以設備實際情況為準。

本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。

本文檔假設您已了解Web應用防護特性。

 

Web應用防護功能需要安裝License才能使用。License期後,Web應用防護功能可以采用設備中已有的Web應用防護特征正常工作,但無法升特征

組網需求

圖-1所示,Device作為安全網關部署在內網邊界。現需要使用Web應用防護功能,保護企業內網用戶免受來自Web的攻擊。

圖-1 Web應用防護功能配置組網圖

 

使用版本

本舉例是在F1000-AI-55R8860版本上進行配置和驗證的。

配置步驟

1.     配置各接口IP地址

# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。

# 單擊接口GE1/0/1右側的<編輯>按鈕,配置如下。

·     安全域:Trust

·     選擇“IPv4地址”頁簽,配置IP地址/掩碼長度:10.1.1.1/24

·     其他配置項使用缺省值

# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。

# 按照同樣的步驟配置接口GE1/0/2,配置如下。

·     安全域:Untrust

·     IP地址/掩碼:20.1.1.1/24

·     其他配置項使用缺省值

2.     配置路由

本舉例僅以靜態路由為例,若實際組網中需采用動態路由,請配置對應的動態路由協議。

請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達外網Web Server的下一跳IP地址為20.1.1.2,實際使用中請以具體組網情況為準,具體配置步驟如下。

# 選擇“網絡 > 路由 > 靜態路由 > IPv4靜態路由”,單擊<新建>按鈕,進入新建IPv4靜態路由頁麵。

# 新建IPv4靜態路由,並進行如下配置:

·     目的IP地址:5.5.5.0

·     掩碼長度:24

·     下一跳IP地址:20.1.1.2

·     其他配置項使用缺省值

# 單擊<確定>按鈕,完成靜態路由的配置。

3.     升級Web應用防護特征庫到最新版本(配置步驟略)

4.     配置Web應用防護配置文件

# 選擇“對象 > 應用安全 > Web應用防護 > 配置文件”,單擊<新建>按鈕,進入新建Web應用防護配置文件頁麵,新建名為wafWeb應用防護配置文件。

# 在篩選特征區域,配置如下。

·     保護對象:全部

·     攻擊分類:全部

·     對象:服務端、客戶端

·     缺省動作:丟棄、允許、重置、黑名單

·     嚴重級別:嚴重、高、中、低

圖-2 篩選特征區域

 

# 在設置配置文件統一動作區域,配置如下。

·     動作:丟棄。

·     日誌:開啟。

·     其他配置項保持默認情況即可。

圖-3 設置配置文件特征區域

 

# 單擊<確定>按鈕,完成Web應用防護配置文件的配置。

5.     配置安全策略

# 選擇“策略 > 安全策略 > 安全策略”,單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵。

# 新建安全策略,並進行如下配置:

·     名稱:untrust-trust

·     源安全域:untrust

·     目的安全域:trust

·     類型:IPv4

·     動作:允許

·     目的IP地址:10.1.1.0/24

·     內容安全中引用Web應用防護配置文件:waf

·     其他配置項使用缺省值

# 單擊<確定>按鈕,完成安全策略的配置。

# 按照同樣的步驟,配置安全策略trust-untrust,並進行如下配置:

·     名稱:trust-untrust

·     源安全域:trust

·     目的安全域:untrust

·     類型:IPv4

·     動作:允許

·     IP地址:10.1.1.0/24

·     內容安全中引用入侵防禦配置文件:waf

·     其他配置項使用缺省值

# 單擊<確定>按鈕,完成安全策略的配置。

6.     激活配置

# Web應用防護配置文件在被安全策略引用後,需要在安全策略頁麵單擊<提交>按鈕,使Web應用防護配置文件生效。

# 完成安全策略配置後,需要在安全策略頁麵單擊<立即加速>按鈕,激活安全策略加速。

7.     開啟日誌采集功能

# 選擇“係統 > 日誌設置 > 基本設置”,選擇存儲空間設置頁簽,勾選Web應用防護業務右側的複選框,開啟Web應用防護日誌采集功能。

驗證配置

以上配置完成後,可以對已知攻擊類型的Web攻擊進行防禦。管理員可在“監控 > 安全日誌 > Web應用防護日誌”中,查看Web應用防護日誌信息。

不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!

BOB登陆 官網
聯係我們