cjh 华为WAF实验: 反向代理(牵引模式)
华为WAF实验: 反向代理(牵引模式)
组网需求
反向代理—牵引模式部署为旁路部署,应用于复杂环境中,如设备无法直接串接的环境。部署时不想更变域名解析。
部署时通过核心交换机或者网络防火墙做策略路由将访问服务器的流量牵引到WAF上。
策略路由的下一跳地址为WAF的业务口IP地址,做策略路由时只需要将保护的服务器的IP+端口的流量牵引过来。
WAF只能处理HTTP/HTTPS协议,其他协议不会处理,如果将其他流量牵引到WAF上会导致其他流量丢弃的情况。
(1)拓扑图
(2)基本配置
R1:
vlan 2 to 4
interface Vlan-interface3
ip address 192.168.3.254 255.255.255.0
#
interface Vlan-interface26
ip address 192.168.26.254 255.255.255.0
#
interface GigabitEthernet2/0
port link-mode route
ip address 192.168.2.254 255.255.255.0
#
interface GigabitEthernet3/0
port link-mode bridge
port access vlan 3
#
interface GigabitEthernet4/0
port link-mode bridge
port access vlan 26
#
ip route-static 0.0.0.0 0 192.168.3.1
fw1:
interface GigabitEthernet1/0/0
undo shutdown
ip address 10.12.5.5 255.255.0.0
service-manage all permit
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 200.200.200.200 255.255.255.0
service-manage all permit
#
interface GigabitEthernet1/0/2
undo shutdown
ip address 192.168.3.1 255.255.255.0
service-manage all permit
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/0
add interface GigabitEthernet1/0/2
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/1
[FW1]ip route-static 192.168.26.0 255.255.255.0 192.168.3.254
[FW1]
[FW1]ip route-static 192.168.2.0 255.255.255.0 192.168.3.254
security-policy
default action permit
nat-policy
rule name Inside-To-Internet
source-zone trust
egress-interface GigabitEthernet1/0/1
action source-nat easy-ip
(3.1)内网web服务器准备
(3.2)防火墙把web服务器映射出去
[FW1]nat server webserver-tcp80 zone untrust protocol tcp global 200.200.200.200 www inside 192.168.26.81 www
(4.1)配置waf防火墙
(5.1)牵引流量
引导流量
acl advanced 3000
rule 5 permit tcp destination 192.168.26.81 0 destination-port eq www
#
policy-based-route p1 permit node 5
if-match acl 3000
apply next-hop 192.168.2.1
apply default-next-hop 192.168.2.1
#
interface GigabitEthernet3/0
port link-mode bridge
port access vlan 3
#
interface Vlan-interface3
ip address 192.168.3.254 255.255.255.0
ip policy-based-route p1
(5.2)测试(成功)
从web服务器上来看,可以看到流量是从waf防火墙过来的。
修改waf的链路模式为代理模式:
访问失败。
总结:
华为WAF的反向代理的两种模式:牵引模式和代理模式的区别:
1、防火墙的映射内部ip地址不一样,牵引模式映射的是web服务器地址,代理模式映射的是waf的前端ip地址。
2、牵引模式需要在核心交换机或者路由器上配置pbr等策略进行引导流量。
3、 WAF的链路模式配置不一样(牵引模式与代理模式), 两者是不通用的。
华为web应用防火墙、华为waf(列表、list、全)华为waflist、华为fwlist
http://www.zh-cjh.com/wenzhangguilei/1251.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 华为WAF实验: 反向代理(牵引模式)
作者: cjh
| 手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm