【WG】WG反向代理接入连通性配置

应用场景：             

客户想使用WG保护自己的内网服务器，但是又不想破坏现在已有的拓扑，此时可以使用此种场景进行部署。

注意：此种场景部署时，需要将域名对应的地址改为WG代理接口的地址，否则WG将无法实现代理的效果。

一、组网要求：             

WG使用一个三层接口接入网络，提供代理功能，用户访问到的IP地址是WG上的代理服务器IP地址，不是实际服务器的IP地址，同时设备使用MGT口进行管理。

二、组网拓扑：  

注意：

         (1)反向代理模式下，设备运行模式选择为反向代理模式，此模式下不能用VLAN 1进行管理，也不能用反向代理口管理，只能用MGT口进行管理。

           (2)反向代理模式下，反向代理接口需要设置为路由接口，并且配置上IP地址。

           (3)反向代理模式下，设备不再以二层串联方式连入网络，而是作为一个代理服务器旁路接入，因此如果WG出现故障，将无法访问内部WEB服务器，同时，开启反向代理模式，设备性能将下降50%。

           (4)反向代理模式下，反向代理地址可以不是反向代理接口的IP地址。使用反向代理后，DNS解析的地址需要从服务器实际地址改为反向代理的地址。

          (5)反向代理模式下，服务器安全组配置时，要将反向代理服务器IP和服务器实际地址均加入服务器列表中。

三、配置要点：

本拓扑使用eth0作为反向代理接口

简要步骤：

1、PC直连WG，在IE中输入默认地址https://192.168.20.200登陆设备，用户名为administrator 密码默认为password

2、修改MGT口IP地址；

3、配置DNS;

4、配置反向代理接口；

5、设置反向代理接口为非信任口；

6、设置默认路由，出接口为反向代理接口；

说明：

该步骤保证客户端访问时流量从反向代理接口进入，流量出去时还从反向代理口出。

如果MGT口需要跨段管理，需要再添加一条静态路由，目的地址为管理主机，出接口为MGT口。

此时，管理主机能管理设备，也能访问服务器，但是如果管理主机访问服务器直接走内网，则WG回应时检查路由，会从MGT口回应，将会导致对管理主机的访问记录/攻击检测无法完全跟踪。

7、设置运行模式为反向代理模式，并重启生效；

8、配置简单反向代理

     说明：简单反向代理，类似于一对一IP映射，一台服务器需要使用一个未被使用的IP地址作为代理服务器地址。

9、配置负载均衡反向代理（可选）

说明：

在内网有多台服务器对外提供同一个域名时使用。目前WG不会对负载均衡的服务器进行通信检测，因此如果负载均衡的服务器群中有一台服务器无法使用，将导致被负载到访问该台服务器的客户端无法访问网站。

四、配置步骤：

1、PC直连WG MGT口（WG1000S为GE1接口），设置PC地址为192.168.20.1，掩码为255.255.255.0，在IE中输入默认地址    https://192.168.20.200登陆设备，用户名为administrator 密码默认为password

       说明：PC地址可以设置为192.168.20.0/24网段除了192.168.20.200地址外的任意可用地址。

   2、修改MGT口IP地址

进入菜单 管理 > 网络配置 > 网络接口，

选择MGT然后点击“编辑”按钮，或者直接单击MGT名称，修改MGT接口的默认IP地址，界面如下图所示：
    

在IP地址/子网掩码处出入规划的WG接口IP地址及掩码，单击“应用”生效。

3、配置DNS，使WG可以解析库文件更新服务器的域名，DNS选择客户处电脑使用的DNS即可：

      进入菜单 管理 > 系统设置 > 主机，将页面往下拉，找到首选DNS服务器，输入正确的DNS地址后，单击“应用”生效：

4、配置反向代理接口：

       进入菜单 管理 > 网络配置 > 网络接口，将本例中的反向代理接口eth0设置为路由口并且添加上接口IP地址：

5、配置反向代理接口为非信任接口，WG只对非信任接口收发的数据进行分析：

   非信任口勾选上后立即生效，无“应用”按钮。

 6、配置默认路由，使WG反向代理口可以与服务器及外网访问用户进行通信，同时能联到外网进行库文件更新：

   进入菜单 管理 > 网络设置 > 路由表，点击“添加”按钮，界面如下图所示

 7、设置运行模式为反向代理模式：

进入菜单 管理 > 系统设置 > 侦测模式，修改模式为反向代理模式，并拉到页面下方，单击“应用"：                            

说明：改变模式后，需要进入菜单 管理 > 系统维护 > 系统重启，重启设备后生效。

重启后重新登录设备，可以看到首页的监控模式已经变为 Reverse-proxy，即反向代理：

8、配置简单反向代理

(1) 进入菜单 管理 > 系统设置 > 侦测模式，选择反向代理旁的“配置”按钮：

(2)配置简单反向代理，如下图：

说明：

反向代理服务器 IP：代理后的虚地址，该地址可以不是反向代理接口地址，只要网络设备上设置路由时，将到达该代理地址的下一跳指向WG反向代理接口IP保证路由可达就可以。

子网掩码：反向代理服务器IP所在网段的子网掩码。

目标服务器 IP：WG 保护的WEB 服务器的实际IP地址。

9、配置负载均衡反向代理（可选）

(1) 进入菜单 管理 > 系统设置 > 侦测模式，选择反向代理旁的“配置”按钮：

(2)配置负载均衡反向代理，如下图：

说明：

反向代理服务器 IP：代理后的虚地址，该地址可以不是反向代理接口地址，只要网络设备上设置路由时，将到达该代理地址的下一跳指向WG反向代理接口IP保证路由可达就可以。

子网掩码：反向代理服务器IP所在网段的子网掩码。

目标服务器 IP：WG 保护的WEB 服务器的实际IP地址范围，这些IP地址作负载均衡用，对外提供同一个域名服务。

五、配置验证：

待反向代理完整配置并检查无误后接入网络验证。