【WG】WG仅旁路监控接入连通性配置

发布时间: 2013-09-18 点击量:690 打印 字体:

应用场景

客户不想破坏现在已有的拓扑,但是想对内网服务器的健康情况进行实时监测,此时可以使用仅旁路部署模式。

注意:此场景下,WG仅能记录相应的访问日志、攻击日志,但是无法对攻击进行有效的阻断。

 

一、组网要求:             

WG使用一个二层接口接入网络,同时使用MGT口进行管理。

 

二、组网拓扑:  

              

 

注意:

旁路模式下,设备运行模式选择为侦测模式,此模式下不能用VLAN 1进行管理,只能用MGT口进行管理,因此设备接入需要使用两个接口:一个监控口,一个MGT口;

       旁路模式下由于访问服务器的数据未直接经过WG,因此WG不能对检测到的攻击行为进行阻断,仅能作日志记录。

旁路模式下,需要将用户访问服务器和服务器回应的数据镜像到WG上。建议使用交换机上最接近服务器(或服务器群)的接口的双向数据,这样可以避免镜像过多不需要的数据,保证镜像过来的数据大部分是需要分析的数据,然后将WG的eth接口接到交换机的镜像目的口上。

 

三、配置要点:

简要步骤:

1、PC直连WG,在IE中输入默认地址https://192.168.20.200登陆设备,用户名为administrator 密码默认为password

2、设置运行模式为侦测模式,重启生效;

3、修改MGT口IP地址;

4、配置默认路由;

5、配置DNS;

6、配置接口802.1Q VLAN(仅在镜像过来的数据带vlan标签的时候需要配置,此时,镜像的源口一般为trunk口)

       vlan只有加到接口,并加入Zone,WG才会对这个Vlan的数据进行分析,因此需要把服务器所在Vlan加入Zone

       由于Vlan 1为所有接口的native vlan,因此如果镜像的数据中有Vlan 1的数据,不需要把Vlan 1再添加到接口,默认即可分析。

7、配置非信任接口

 

四、配置步骤:

1、PC直连WG MGT口(WG1000S为GE1接口),设置PC地址为192.168.20.1,掩码为255.255.255.0,在IE中输入默认地址    https://192.168.20.200登陆设备,用户名为administrator 密码默认为password

       说明:PC地址可以设置为192.168.20.0/24网段除了192.168.20.200地址外的任意可用地址。

2、设置运行模式为侦测模式:

       进入菜单 管理 > 系统设置 > 侦测模式,修改模式为侦测模式,并拉到页面下方,单击应用":                

    

说明:改变模式后,需要进入菜单 管理 > 系统维护 > 系统重启,重启设备后生效。

重启后重新登录设备,可以看到首页的监控模式已经变为Recon,即侦测模式:

   3、修改MGT口IP地址

进入菜单 管理 > 网络配置 > 网络接口,

选择MGT然后点击“编辑”按钮,或者直接单击MGT名称,修改MGT接口的默认IP地址,界面如下图所示:
    

在IP地址/子网掩码处出入规划的WG接口IP地址及掩码,单击“应用”生效。

   4、配置默认路由,使WG可以联接外网库文件更新服务器,同时实现跨网段管理

 进入菜单 管理 > 网络设置 > 路由表,点击“添加”按钮,界面如下图所示:

 

5、配置DNS,使WG可以解析库文件更新服务器的域名,DNS选择客户处电脑使用的DNS即可

      进入菜单 管理 > 系统设置 > 主机,将页面往下拉,找到首选DNS服务器,输入正确的DNS地址后,单击“应用”生效:

          

6、配置接口802.1Q VLAN(仅在镜像过来的数据带vlan标签的时候需要配置,此时,镜像的源口一般为trunk口)

       本拓扑中监控口使用eth0,如果服务器群所在的vlan为vlan 100,vlan 200,则进行如下配置:

       (1)将vlan100,vlan200添加到eth0接口:

             

 

     由于一次只能添加一个vlan,添加vlan100后,选择应用;       再在VLAN ID中输入200,点击应用。即可将vlan100,vlan200都添加为eth0的802.1Q VLAN;

       (2)选择802.1Q vlan中的VLANID,选择"添加VLAN到Zone",下拉表中选择"_waf_inside_",只有加到waf_inside的vlan流量才会被分析,否则实施后攻击日志中看不到任何日志。

             

7、配置非信任接口,将旁路模式下的监控口设置为非信任口,否则WG不会对数据进行分析:

       本拓扑使用eth0口接入网络,则将eth0口设置为非信任接口:

    

      非信任口勾选上后立即生效,无“应用”按钮。

 

五、配置验证:

待服务器安全组配置完后接入网络中进行验证,查看是否存在攻击日志。

 

 

 

00 分享 纠错
相关条目