绿盟WAF旁路部署案例

已于 2024-05-05 13:40:11 修改
阅读量1.1k 收藏 5
点赞数 4
文章标签: 网络
于 2024-05-05 13:38:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/normanhere/article/details/138465029
版权
文章详细描述了如何通过旁路部署,在交换机上配置策略路由以引流访问特定网站的TCP流量到WAF节点,同时提及了设置下一跳、路由聚合、IP地址配置以及DNS防护和相关证书与配置文件的运用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

旁路部署,使用策略路由引流,交换机配置如下
#匹配访问网站的流量
acl number 3150 name vWaf-node1
rule 5 permit tcp destination 10.137.221.41 0 destination-port eq 443
#设置下一跳修改为WAF
policy-based-route vWaf permit node 1
if-match acl name vWaf-node1
apply next-hop 10.137.221.71
#在流量的入方向应用
interface Route-Aggregation11
ip address 172.23.99.61 255.255.255.252
ip policy-based-route vWaf

添加工作组
在这里插入图片描述设置路由
在这里插入图片描述
设置部署模式为旁路
在这里插入图片描述设置DNS
在这里插入图片描述
添加对应的防护网站包括证书,防护配置文件,打开防护
在这里插入图片描述

normanhere
关注
Geotrust 企业型(OV)通配符证书部署绿盟WAF、百度云CDN、博达站群和金智统一身份认证平台实例
symstandsun的博客
07-23 494
在软负载nginx服务器的 /opt/ids_nginx_config/ssl目录下替换原证书(做好备份),替换原cer证书和key文件,key文件使用下载的nginx(适用大部分场景)中的key文件。其中证书一栏,将nginx(适用大部分场景)的XXX_bundle.crt和XXX_bundle.pem文件内容依次全部复制到证书框内,确定即可。其中,博达站群用到apache类型的证书文件,绿盟WAF、百度云CDN、金智统一身份认证平台均使用nginx(适用大部分场景)证书文件。一、下载证书(腾讯云)
WEB安全之WAF绕过思路.xmind
11-29
市场Waf分类: 硬件Waf绿盟、安恒、启明、知道创宇等 软件Waf:安全狗、云锁、中间件自带的Waf模块 云WAF:阿里云、安全狗、知道创宇、安恒 安全狗安装: 1、关闭apache程序及httpd.exe进程 2、运行cmd,cd进入apache/bin文件夹目录,执行httpd.exe -k install -n apache2.4.39 3.安全狗安装服务名称填写apache2.4.39
WAF的识别、检测、绕过原理与实战案例
weixin_64392888的博客
05-24 885
因此,组织需要不断更新和优化WAF的规则库,加强WAF配置管理,并结合其他安全措施,如入侵检测系统(IDS)、入侵防御系统(IPS)等,构建多层次的网络安全防护体系。同时,安全团队应定期进行安全培训,提高对WAF绕过技术的认识,并进行实战演练,以提高应对复杂攻击的能力。攻击者利用已知的Web应用漏洞,轻易绕过了WAF的防护,获取了网站的敏感信息。尽管WAF采用了RASP技术,但由于RASP的检测逻辑存在局限性,攻击者通过构造复杂的攻击向量,成功绕过了WAF的检测。WAF的识别、检测、绕过原理与实战案例
WAF攻防实战
weixin_30549657的博客
10-12 452
摘要 本文主要分为四个部分,一、首先对WAF做了简单的介绍,让读者对WAF这类产品有一个大概的了解;二、这部分通过一个实例演示了如何利用WAF为其后端的Web应用提供安全防护功能;三、安全是相对的,世界上任何一款安全产品都不可能提供100%的安全防护功能,WAF也是一样。因此,第三部分主要讨论了WAF的安全性,介绍了一些主流的WAF绕过技术,并结合真实案例来演示了如何尝试绕...
项目经历部署WAF
Mma_123456789的博客
05-28 404
首先,之前客户那边我们的WAF是进行旁路部署,但是为了满足客户的业务需求,需要在我们的出口防火墙和核心之间串联我们的WAF。最后可以上架设备了,waf其中两个口配置成聚合口链接核心,在配置两个聚合口连接出口设备。aggr1聚合口,eth2,eth5。聚合口地址,192.168.10.2.现在,需要看这台出口设备,插在核心那个口上,现在去核心交换机上看一下配置。查看聚合口是哪几个口dis eth-trunk 20。先看一下,出口防火墙的接口配置。看一下旁路部署WAF
WAF6.X-旁路部署.doc
08-07
旁路检测模式,顾名思义,就是只检测,不阻断的模式,此模式部署WAF只能记录攻击+访问日志,不能对数据包进行阻断处理; 旁路检测+阻断,就是指交换机配置镜像流量给WAFWAF既能监测,又能阻断的部署方式。具体原理是:交换机把镜像流量给WAFWAF检测到有攻击后,给服务器发送RST数据包,告诉服务器有攻击,服务器则丢弃此数据包; 反向代理模式:由WAF作为代理服务器
安全观察:浅谈WAF几种常见的部署模式
热门推荐
Enweitech Software Works
07-14 4万+
随着电子商务、网上银行、电子政务的盛行,WEB服务器承载的业务价值越来越高,WEB服务器所面临的安全威胁也随之增大,因此,针对WEB应用层的防御成为必然趋势,WAF(WebApplicationFirewall,WEB应用防火墙)产品开始流行起来。 WAF产品按照形态划分可以分为三种,硬件、软件及云服务。软件WAF由于功能及性能方面的缺陷,已经逐渐被市场所淘汰。云WAF近两年才刚刚兴起,产品
绿盟WAF 万兆板卡的爱恨情仇
weixin_33898876的博客
05-23 338
某年某月某日的那天,进行WAF测试,绿盟WAF是其中一个测试对象。还记得那天风和日丽,厂商、销售、技术集聚一堂。2U的大WAF上架调试。插上模块和光纤之后,发现指示灯不亮,链路不通。模块不好用么?光纤不好用么?这些在别的交换机上都测试过,没问题的啊!为什么不好用呢?重启吧!这时见鬼的事情出现了,重启之后识别不出万兆接口,看不到万兆板卡了!什么情况?板卡没插好么?关机断电,插拔板卡,还不行!换插槽还...
程序员自学网站整理大全(非常详细)零基础入门到精通,收藏这篇就够了
Libra1313的博客
11-02 4963
有些大厂,例如奇安信,甚至会将渗透岗位分为红蓝两方,对候选人的技术要求比较高,大部分刚入行的新人,也将渗透岗位作为后期的发展目标。①就业环境:网络安全可以在计算机科学与技术、信息通信、电子商务、互联网金融、电子政务等领域从事相关工作,还可以在政府机关事业单位、银行、保险、证券等金融机构,电信、传媒等行业从事相关工作。(有条件请支持实体书)
绿盟WAF-HTTPS证书制作
qq_53146347的博客
09-24 1057
2、openssl x509 -req -days 3650 -in server110.com.csr -signkey server110.com.key -out server110.com.crt //自签名证书。1、openssl req -new -key server110.com.key -out server110.com.csr //制作CSR证书申请文件,需要填写很多信息。注意:这里摆放顺序很有讲究,公钥须在文件最顶端,然后是CA证书(中级证书,根证书),最后是私钥。
WAF快速配置
12-12
欢迎下载,WAF快速速度配置手册,提供最全面的配置文档
旁挂设备通过策略路由引流
03-08
防火墙、waf等设备旁挂。通过策略路由引流,实现安全设备对流量的安全控制与监测。
常用图标库_绿盟.ppt
08-17
绿盟
WAF-应用层攻击保护测试对比
09-12
对比启明星辰、绿盟、安恒等品牌WAF在应用攻击保护时的策略防护能力。 二. 测试步骤 2.1 环境漏洞验证 验证序号 1 验证方法 用and 1=1和and 1=2验证注入漏洞 测试步骤 1. 在浏览器打开...
网站间隙性502故障(绿盟waf)Error:no live upstreams while
lefooter的博客
03-03 1418
现象: 11月27日早上8点18分 安全巡检发现部分页面间歇性出现502(页面报错,服务器不响应), 8:30左右陆陆续续恢复 过程: 知道监管会在晚上外网扫描(常规扫描) 02.09分发起扫描 02.10分接收到邮件和短信告警(量不大) 02.18分中心电话通知xxx(未接到) 02.26分中心二次通知,接听并在群回复监管扫描 07.28分中心在QQ通知一直在告警,处理下 08.11分到公司在...
IMPERVA - WAF 如何配置Imperva SNMP
daibaohui的博客
02-22 917
SNMP介绍 简单网络管理协议(SNMP) 是一种标准协议,用于监视网络设备的运行状态。 SNMP种类 1.Polling – 被动响应查询状态 2.Traps – 主动发送告警信息 配置SNMP Trap 在Admin > Management Server Settings > Action Interfaces里新建一个Action Interfaces 编辑新建的Action Interfaces,采用默认的162端口,根据需求觉得是否在每个事件上运行...
绿盟网站安全防护服务(vWAF)
weixin_30295091的博客
09-08 1128
平台:linux 类型:虚拟机镜像 软件包: basic software devops nsfocus security waf 服务优惠价:按服务商许可协议 云服务器费用:查看费用 立即部署 产品详情 产品介绍绿盟网站安全防护服务(vWAF),是绿盟科技针对公有云场景,以虚拟化设备形态为核心的安...
WAF设备配置思路
weixin_33751566的博客
03-23 940
WAF设备的配置思路类似于防火墙,先根据用户用户的需求确认部署模式,WAF共有三种部署模式,分别是:透明模式、旁路模式、反向代理模式。 模式确定之后,安全策略的配置步骤如下: 建立被保护服务器组; 建立策略; 将策略关联到被保护服务器组。 转载于:https://blog.51cto.com/tecnology...
waf
power的专栏
06-22 286
./waf configure --board=Pixhawk1 ./waf configure --board fmuv5 ./waf build --target examples/INS_generic --upload ./waf list | grep 'examples' ./waf copter
绿盟防火墙虚拟线部署
最新发布
01-26
### 绿盟防火墙虚拟线部署配置指南 #### 一、准备工作 在进行绿盟防火墙的虚拟线部署之前,需确保已经完成如下准备事项: - 完成硬件安装并连接电源; - 连接管理口到电脑或其他终端设备以便于通过Web界面登录防火墙; - 准备好所需的IP地址规划方案。 #### 二、创建VLAN接口 进入绿盟防火墙的操作系统后,在网络设置部分找到VLAN配置选项。按照实际需求定义不同的VLAN ID,并分配相应的子网掩码和默认网关给各个VLAN接口[^1]。 ```bash # 创建 VLAN 接口命令示例(假设使用 CLI) config vlan add id 10 name "VLAN10" config interface set port1 mode trunk allowed-vlan add 10 ``` #### 三、配置路由规则 为了使不同VLAN之间的流量能够正常转发,还需要设定静态路由或动态路由协议来指导数据包走向正确的下一跳路由器。这一步骤通常是在高级路由菜单下操作完成。 #### 四、启用NAT功能 如果内部网络需要访问外部互联网,则要开启源地址转换(NAT),使得内网主机可以共享公网出口带宽上网。此过程涉及指定用于映射内外网IP地址范围及端口号等参数。 #### 五、应用安全策略 最后但同样重要的是,根据企业信息安全政策的要求制定相应级别的防护措施,比如入侵检测/预防(IDS/IPS)、防病毒扫描等功能模块的应用,从而保障整个系统的安全性。 #### 六、测试连通性 完成上述所有步骤之后,务必进行全面的功能性和性能方面的验证工作,确认各条线路均能稳定运行并无异常情况发生。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值