cjh 华为WAF实验: 反向代理(代理模式)
华为WAF实验: 反向代理(代理模式)
组网需求
反向代理—代理模式为旁路部署,应用于复杂环境中,如设备无法直接串接的环境。部署时需要在用户网络设备上将域名解析到设备上或将地址映射到设备上。
最终拓扑:
(1)拓扑
(2)基本配置
sw1:
interface GE1/0/0
undo portswitch
undo shutdown
ip address 192.168.3.254 255.255.255.0
#
interface GE1/0/1
undo portswitch
undo shutdown
ip address 192.168.26.254 255.255.255.0
#
interface GE1/0/2
undo portswitch
undo shutdown
ip address 192.168.2.254 255.255.255.0
ip route-static 0.0.0.0 0.0.0.0 192.168.3.1
fw1:
fw1:
interface GigabitEthernet1/0/0
undo shutdown
ip address 10.12.5.5 255.255.0.0
service-manage all permit
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 200.200.200.200 255.255.255.0
service-manage all permit
#
interface GigabitEthernet1/0/2
undo shutdown
ip address 192.168.3.1 255.255.255.0
service-manage all permit
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/0
add interface GigabitEthernet1/0/2
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/1
[FW1]ip route-static 192.168.26.0 255.255.255.0 192.168.3.254
[FW1]
[FW1]ip route-static 192.168.2.0 255.255.255.0 192.168.3.254
security-policy
default action permit
nat-policy
rule name Inside-To-Internet
source-zone trust
egress-interface GigabitEthernet1/0/1
action source-nat easy-ip
(3.1)内网web服务器准备
防火墙把web服务器映射出去
[FW1]nat server webserver-tcp80 zone untrust protocol tcp global 200.200.200.200 www inside 192.168.26.81 www
(3.2)测试:Internet上的电脑PC1可以访问网站
抓包:有HTTP的包
(4.1)WAF: 添加站点
服务器端口和链路端口(前端)可以设置为相同端口或者不同端口。
接入链路前端和后端端口可以不同。
后端IP如果和服务器IP地址在同一网段,链路地址(后端)网关可以不填。
在反向代理—代理模式部署下,保护站点配置参数说明如表所示:
(4.2)FW1: 修改映射规则
(4.3)PC1测试访问(失败)
抓包:没有抓到HTTP的包
所以问题应该是出现在WAF上。
(5.1)修改拓扑:WAF防火墙与交换机间连接两条链路
sw1:
interface Vlanif1
ip address 192.168.3.254 255.255.255.0
#
interface GE1/0/0
undo shutdown
#
interface GE1/0/1
undo portswitch
undo shutdown
ip address 192.168.26.254 255.255.255.0
#
interface GE1/0/2
undo portswitch
undo shutdown
ip address 192.168.2.254 255.255.255.0
#
interface GE1/0/3
undo shutdown
#
interface GE1/0/4
undo portswitch
undo shutdown
ip address 192.168.4.254 255.255.255.0
ip route-static 0.0.0.0 0.0.0.0 192.168.3.1
WAF:
如果攺为直连,不经过交换机的话,是可以的:
把交换机换成H3C路由器试下结果:PC就可以正常访问200.200.200.200
基于以上图片,把webserver接到H3C路由器,webserver使用的ip与waf的e2接口是同一网段的ip, web server可以ping通waf的192.168.26.1,但是pc1就是方不成功,把pc1配置192.168.2.200与waf的e1接口直连,访问还是不成功。
通过实验证明:如果waf与web serber不是物理直连,如果中间有交换机或者路由器,则实验不成功,就算同一网段也不成功,这应该是模拟器问题。
继续用此拓扑进行实验:
(1)拓扑图
(2)WAF的配置
(3)访问测试(结果:失败)
webserver ping 192.168.26.1 是正常,fw ping 192.168.2.1 也是通的。
(4.1)把WAF的e1接口改成前端,把e2改为后端。
(4.2)测试(访问失败)
(4.3)测试,再修改拓扑图进行测试,e1作为前端(成功)
(4.4)测试,再修改拓扑图进行测试,waf的e1和e2对调,e2作为前端(成功)
(4.5)测试,再修改拓扑图进行测试(成功)
(4.6)测试,再修改拓扑图进行测试(成功)
(4.6)测试,再修改拓扑图进行测试,把webserver的网关修改到H3C路由器, waf的后端网络与h3c的对接中使用新的网段(成功)
(4.7)测试,再修改拓扑图进行测试(成功)
华为web应用防火墙、华为waf(列表、list、全)华为waflist、华为fwlist
http://www.zh-cjh.com/wenzhangguilei/1251.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 华为WAF实验: 反向代理(代理模式)
作者: cjh
| 手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm