交换机
园区网交换机
数据中心与云计算交换机
行业精选交换系列
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
行业精选无线系列
物联网
安全
大数据安全平台
下一代防火墙
安全网关
检测管理安全
安全服务
安全云
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
应用场景:
客户想使用WG保护自己的内网服务器,但是又不想破坏现在已有的拓扑,此时可以使用此种场景进行部署。
注意:此种场景部署时,需要将域名对应的地址改为WG代理接口的地址,否则WG将无法实现代理的效果。
一、组网要求:
WG使用一个三层接口接入网络,提供代理功能,用户访问到的IP地址是WG上的代理服务器IP地址,不是实际服务器的IP地址,同时设备使用MGT口进行管理。
二、组网拓扑:
注意:
(1)反向代理模式下,设备运行模式选择为反向代理模式,此模式下不能用VLAN 1进行管理,也不能用反向代理口管理,只能用MGT口进行管理。
(2)反向代理模式下,反向代理接口需要设置为路由接口,并且配置上IP地址。
(3)反向代理模式下,设备不再以二层串联方式连入网络,而是作为一个代理服务器旁路接入,因此如果WG出现故障,将无法访问内部WEB服务器,同时,开启反向代理模式,设备性能将下降50%。
(4)反向代理模式下,反向代理地址可以不是反向代理接口的IP地址。使用反向代理后,DNS解析的地址需要从服务器实际地址改为反向代理的地址。
(5)反向代理模式下,服务器安全组配置时,要将反向代理服务器IP和服务器实际地址均加入服务器列表中。
三、配置要点:
本拓扑使用eth0作为反向代理接口
简要步骤:
1、PC直连WG,在IE中输入默认地址https://192.168.20.200登陆设备,用户名为administrator 密码默认为password
2、修改MGT口IP地址;
3、配置DNS;
4、配置反向代理接口;
5、设置反向代理接口为非信任口;
6、设置默认路由,出接口为反向代理接口;
说明:
该步骤保证客户端访问时流量从反向代理接口进入,流量出去时还从反向代理口出。
如果MGT口需要跨段管理,需要再添加一条静态路由,目的地址为管理主机,出接口为MGT口。
此时,管理主机能管理设备,也能访问服务器,但是如果管理主机访问服务器直接走内网,则WG回应时检查路由,会从MGT口回应,将会导致对管理主机的访问记录/攻击检测无法完全跟踪。
7、设置运行模式为反向代理模式,并重启生效;
8、配置简单反向代理
说明:简单反向代理,类似于一对一IP映射,一台服务器需要使用一个未被使用的IP地址作为代理服务器地址。
9、配置负载均衡反向代理(可选)
说明:
在内网有多台服务器对外提供同一个域名时使用。目前WG不会对负载均衡的服务器进行通信检测,因此如果负载均衡的服务器群中有一台服务器无法使用,将导致被负载到访问该台服务器的客户端无法访问网站。
四、配置步骤:
1、PC直连WG MGT口(WG1000S为GE1接口),设置PC地址为192.168.20.1,掩码为255.255.255.0,在IE中输入默认地址 https://192.168.20.200登陆设备,用户名为administrator 密码默认为password
说明:PC地址可以设置为192.168.20.0/24网段除了192.168.20.200地址外的任意可用地址。
2、修改MGT口IP地址
进入菜单 管理 > 网络配置 > 网络接口,
选择MGT然后点击“编辑”按钮,或者直接单击MGT名称,修改MGT接口的默认IP地址,界面如下图所示:
在IP地址/子网掩码处出入规划的WG接口IP地址及掩码,单击“应用”生效。
3、配置DNS,使WG可以解析库文件更新服务器的域名,DNS选择客户处电脑使用的DNS即可:
进入菜单 管理 > 系统设置 > 主机,将页面往下拉,找到首选DNS服务器,输入正确的DNS地址后,单击“应用”生效:
4、配置反向代理接口:
进入菜单 管理 > 网络配置 > 网络接口,将本例中的反向代理接口eth0设置为路由口并且添加上接口IP地址:
5、配置反向代理接口为非信任接口,WG只对非信任接口收发的数据进行分析:
非信任口勾选上后立即生效,无“应用”按钮。
6、配置默认路由,使WG反向代理口可以与服务器及外网访问用户进行通信,同时能联到外网进行库文件更新:
进入菜单 管理 > 网络设置 > 路由表,点击“添加”按钮,界面如下图所示
7、设置运行模式为反向代理模式:
进入菜单 管理 > 系统设置 > 侦测模式,修改模式为反向代理模式,并拉到页面下方,单击“应用":
说明:改变模式后,需要进入菜单 管理 > 系统维护 > 系统重启,重启设备后生效。
重启后重新登录设备,可以看到首页的监控模式已经变为 Reverse-proxy,即反向代理:
8、配置简单反向代理
(1) 进入菜单 管理 > 系统设置 > 侦测模式,选择反向代理旁的“配置”按钮:
(2)配置简单反向代理,如下图:
说明:
反向代理服务器 IP:代理后的虚地址,该地址可以不是反向代理接口地址,只要网络设备上设置路由时,将到达该代理地址的下一跳指向WG反向代理接口IP保证路由可达就可以。
子网掩码:反向代理服务器IP所在网段的子网掩码。
目标服务器 IP:WG 保护的WEB 服务器的实际IP地址。
9、配置负载均衡反向代理(可选)
(1) 进入菜单 管理 > 系统设置 > 侦测模式,选择反向代理旁的“配置”按钮:
(2)配置负载均衡反向代理,如下图:
说明:
反向代理服务器 IP:代理后的虚地址,该地址可以不是反向代理接口地址,只要网络设备上设置路由时,将到达该代理地址的下一跳指向WG反向代理接口IP保证路由可达就可以。
子网掩码:反向代理服务器IP所在网段的子网掩码。
目标服务器 IP:WG 保护的WEB 服务器的实际IP地址范围,这些IP地址作负载均衡用,对外提供同一个域名服务。
五、配置验证:
待反向代理完整配置并检查无误后接入网络验证。