交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
一、网络拓扑
二、拓扑说明
此拓扑适用于WG旁路接入,且需要为web服务器做代理时。
此时,被保护的服务器与WG之间相当于做了一次IP映射,客户端访问时不会获知服务器的真实IP地址。
注意:
客户端直接访问网站访问到的是WG设备上代理服务器的IP地址,客户端不会知道服务器的真实地址;
出口设备上如果需要对服务器做映射,需要将映射的内网地址写成WG上代理服务器的IP地址;
客户处如果有内部DNS服务器,需要修改原先的域名对应关系,将域名解析出的IP地址改成WG上代理服务器的IP地址;
开启反向代理模式,设备性能将下降50%;
反向代理模式下,设备运行模式选择为反向代理模式,此模式下不能用VLAN 1进行管理,也不能用反向代理口管理,只能用MGT口进行管理;
反向代理模式下,反向代理接口需要设置为路由接口,并且配置上IP地址;
反向代理模式下,设备不再以二层串联方式连入网络,而是作为一个代理服务器旁路接入,因此如果WG出现故障,将无法访问内部WEB服务器;
反向代理模式下,反向代理地址可以不是反向代理接口的IP地址;
反向代理模式下,服务器安全组配置时,要将反向代理服务器IP和服务器实际地址均加入服务器列表中。
三、配置步骤
1、接入连通性及代理配置 (配置方式参见 典型场景配置 > WG常用功能配置 > 接入连通性配置 > 旁路接入 > WG反向代理接入连通性配置)
2、配置URL安全策略 (配置方式参见 典型场景配置 > WG常用功能配置 > Web安全 > URL安全策略)
3、配置服务器安全组 (配置方式参见 典型场景配置 > WG常用功能配置 > Web安全 > 服务器安全组)
四、可选功能选择
1、黑名单/白名单设置 (配置方式参见 典型场景配置 > WG常用功能配置 > Web安全 > URL安全策略)
2、邮件警告 (配置方式参见 典型场景配置 > WG常用功能配置 > 邮件警告)
3、添加新管理员用户 (配置方式参见 日常维护 >添加新管理员用户)
4、WG访问控制设置 (配置方式参见 典型场景配置 > WG常用功能配置 > 访问控制)
5、证书管理 (仅当客户处有自己的https服务器需要经过WG防护,并且希望客户端访问时使用服务器自己的安全证书时需要使用)
(证书管理配置方式参见 典型场景配置 > WG常用功能配置 > Web安全 > 证书管理)
五、实施后检查
检查内容主要包括以下几项:
1、基础检查 (检查理由:查看设备基础部件的运行情况,保证设备的稳定运行,排除隐患)
2、设备状态检查 (检查理由:查看设备运行是否稳定)
3、设备日志检查 (检查理由:检查是否产生对应的访问日志、攻击日志;检查系统日志是否存在异常)
4、服务器访问情况检查 (检查理由:检查被保护的服务器网站访问是否正常,是否设备上架后策略导致部分页面无法访问、无法提交)
5、库文件更新检查 (检查理由:确保库文件能正常更新,使设备能识别最新的web攻击特征及病毒特征)