交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
一、网络拓扑
二、拓扑说明
此拓扑适用于WG单进单出方式串入二层链路或者三层链路中,经过WG的链路中可以跑trunk数据,也可以只跑某个vlan的数据,或者是三层链路数据。
如果只有单台web服务器,可以将服务器直接接到WG上。
注意:如果WG采用电口作为业务口接入,请注意选择尽量使用硬件bypass对,这样在设备重启、掉电的情况下,网络还能正常通行。
电口硬件bypass对:
WG1000/2000/3000:eth0 <->eth1; eth2 <->eth3
WG1000S:ge3 <->ge4; ge5 <->ge6
光口无硬件bypass对;
WG使用MGT口进行管理时,设备上总共需要接三个接口:2个业务口和一个MGT管理口;
如果需要使用vlan接口进行管理,只能使用Vlan1,设备不能在其他vlan上添加IP地址;
使用Vlan1进行管理时,管理接口直接使用业务口,需要开启业务口的管理功能;
实施时如果现场允许,建议尽量使用MGT口进行管理,实现管理流量和业务流量分离。
三、配置步骤
1、接入连通性配置 (配置方式参见 典型场景配置 > WG常用功能配置 > 接入连通性配置 > 透明桥接 > 单进单出接入连通性配置)
2、配置URL安全策略 (配置方式参见 典型场景配置 > WG常用功能配置 > Web安全 > URL安全策略)
3、配置服务器安全组 (配置方式参见 典型场景配置 > WG常用功能配置 > Web安全 > 服务器安全组)
四、可选功能选择
1、黑名单/白名单设置 (配置方式参见 典型场景配置 > WG常用功能配置 > Web安全 > URL安全策略)
2、邮件警告 (配置方式参见 典型场景配置 > WG常用功能配置 > 邮件警告)
3、添加新管理员用户 (配置方式参见 日常维护 >添加新管理员用户)
4、WG访问控制设置 (配置方式参见 典型场景配置 > WG常用功能配置 > 访问控制)
5、证书管理 (仅当客户处有自己的https服务器需要经过WG防护,并且希望客户端访问时使用服务器自己的安全证书时需要使用)
(证书管理配置方式参见 典型场景配置 > WG常用功能配置 > Web安全 > 证书管理)
五、实施后检查
检查内容主要包括以下几项:
1、基础检查 (检查理由:查看设备基础部件的运行情况,保证设备的稳定运行,排除隐患)
2、设备状态检查 (检查理由:查看设备运行是否稳定)
3、设备日志检查 (检查理由:检查是否产生对应的访问日志、攻击日志;检查系统日志是否存在异常)
4、服务器访问情况检查 (检查理由:检查被保护的服务器网站访问是否正常,是否设备上架后策略导致部分页面无法访问、无法提交)
5、库文件更新检查 (检查理由:确保库文件能正常及时更新,使设备能识别最新的web攻击特征及病毒特征)