【WG】WG仅旁路监控接入连通性配置

应用场景

客户不想破坏现在已有的拓扑，但是想对内网服务器的健康情况进行实时监测，此时可以使用仅旁路部署模式。

注意：此场景下，WG仅能记录相应的访问日志、攻击日志，但是无法对攻击进行有效的阻断。

一、组网要求：             

WG使用一个二层接口接入网络，同时使用MGT口进行管理。

二、组网拓扑：  

注意：

旁路模式下，设备运行模式选择为侦测模式，此模式下不能用VLAN 1进行管理，只能用MGT口进行管理，因此设备接入需要使用两个接口：一个监控口，一个MGT口；

       旁路模式下由于访问服务器的数据未直接经过WG，因此WG不能对检测到的攻击行为进行阻断，仅能作日志记录。

旁路模式下，需要将用户访问服务器和服务器回应的数据镜像到WG上。建议使用交换机上最接近服务器（或服务器群）的接口的双向数据，这样可以避免镜像过多不需要的数据，保证镜像过来的数据大部分是需要分析的数据，然后将WG的eth接口接到交换机的镜像目的口上。

三、配置要点：

简要步骤：

1、PC直连WG，在IE中输入默认地址https://192.168.20.200登陆设备，用户名为administrator 密码默认为password

2、设置运行模式为侦测模式，重启生效；

3、修改MGT口IP地址；

4、配置默认路由；

5、配置DNS；

6、配置接口802.1Q VLAN（仅在镜像过来的数据带vlan标签的时候需要配置，此时，镜像的源口一般为trunk口）

       vlan只有加到接口，并加入Zone，WG才会对这个Vlan的数据进行分析，因此需要把服务器所在Vlan加入Zone

       由于Vlan 1为所有接口的native vlan，因此如果镜像的数据中有Vlan 1的数据，不需要把Vlan 1再添加到接口，默认即可分析。

7、配置非信任接口

四、配置步骤：

1、PC直连WG MGT口（WG1000S为GE1接口），设置PC地址为192.168.20.1，掩码为255.255.255.0，在IE中输入默认地址    https://192.168.20.200登陆设备，用户名为administrator 密码默认为password

       说明：PC地址可以设置为192.168.20.0/24网段除了192.168.20.200地址外的任意可用地址。

2、设置运行模式为侦测模式：

       进入菜单 管理 > 系统设置 > 侦测模式，修改模式为侦测模式，并拉到页面下方，单击“应用"：                

说明：改变模式后，需要进入菜单 管理 > 系统维护 > 系统重启，重启设备后生效。

重启后重新登录设备，可以看到首页的监控模式已经变为Recon，即侦测模式：

   3、修改MGT口IP地址

进入菜单 管理 > 网络配置 > 网络接口，

选择MGT然后点击“编辑”按钮，或者直接单击MGT名称，修改MGT接口的默认IP地址，界面如下图所示：
    

在IP地址/子网掩码处出入规划的WG接口IP地址及掩码，单击“应用”生效。

   4、配置默认路由，使WG可以联接外网库文件更新服务器，同时实现跨网段管理

 进入菜单 管理 > 网络设置 > 路由表，点击“添加”按钮，界面如下图所示：

5、配置DNS，使WG可以解析库文件更新服务器的域名，DNS选择客户处电脑使用的DNS即可

      进入菜单 管理 > 系统设置 > 主机，将页面往下拉，找到首选DNS服务器，输入正确的DNS地址后，单击“应用”生效：

6、配置接口802.1Q VLAN（仅在镜像过来的数据带vlan标签的时候需要配置，此时，镜像的源口一般为trunk口）

       本拓扑中监控口使用eth0，如果服务器群所在的vlan为vlan 100，vlan 200，则进行如下配置：

       (1)将vlan100，vlan200添加到eth0接口：

     由于一次只能添加一个vlan，添加vlan100后，选择应用；       再在VLAN ID中输入200，点击应用。即可将vlan100，vlan200都添加为eth0的802.1Q VLAN；

       (2)选择802.1Q vlan中的VLANID，选择"添加VLAN到Zone"，下拉表中选择"_waf_inside_"，只有加到waf_inside的vlan流量才会被分析，否则实施后攻击日志中看不到任何日志。

7、配置非信任接口，将旁路模式下的监控口设置为非信任口，否则WG不会对数据进行分析：

       本拓扑使用eth0口接入网络，则将eth0口设置为非信任接口：

      非信任口勾选上后立即生效，无“应用”按钮。

五、配置验证：

待服务器安全组配置完后接入网络中进行验证，查看是否存在攻击日志。