一、组网需求

某金融客户拥有在线交易系统、数据管理系统等Web形式的站点系统，数据量非常关键，在服务器边界区域，除必要的交换设备、防火墙采用串联部署外，其余安全检测设备一律要求采用旁路部署，不能存在单点故障的隐患。

 客户需求：

1、对注入、跨站等攻击进行检测发现；

2、避免单点故障的发生。

3、实现部分防护功能

 

二、WG工作模式选择

根据客户的需求确定WG的工作模式为旁路监测&阻断模式。

·    将WG旁路连接在交换机侧，避免单点故障发生；

·   在交换机配置镜像口，WG配置监听口，保证流经交换机的流量数据通过镜像口拷贝至WG，进行攻击的检测工作；在进行旁路监测的同时，在WG上再配置一个阻断接口，在检测到攻击时，WG可以构造阻断数据包，通过阻断接口向发起源和攻击目标同时发送该阻断包，中断阻止后续攻击行为。

·   该模式仅支持HTTP合规性、特征库匹配监测&阻断。

·   阻断率受网络环境影响而下降，所以需要全面防护推荐串行部署。

 

三、拓扑说明

      此拓扑适用于WG旁路检测&阻断模式，WG旁路接入到服务器接入交换机上，接收服务器接入交换机镜像过来的流量并通过阻断口对攻击流量进行阻断如下:

 

带外管理说明（MGT口）：

WG使用MGT口进行管理时，设备上除连接多个业务口外，还需要一个MGT管理口。

如果需要使用bridge接口进行管理，只需在创建bridge后添加IP时勾选作为管理IP的

选项即可通过该地址管理WG。

           

四、初始化配置

            步骤一、配置网络接口：业务网桥和管理网桥配置；管理IP配置。

            步骤二、流量镜像：将去往服务器的流量镜像到镜像口。

            步骤三、配置服务器：受保护服务器的防护参数配置。

            步骤四、配置防护策略：WEB防护策略配置并关联受保护服务器。

            步骤五、效果验证：验证WEB防护效果，同时确认服务器业务正常。

           

五、可选功能选择

      1、黑名单/白名单设置        （配置方式参见 常用功能> 访问控制> 黑白名单）

      2、邮件警告                       （配置方式参见  常用功能> 告警配置> 邮件告警）

      3、添加新管理员用户          （配置方式参见 日常维护 >账号管理>用户管理）

      4、WG访问控制设置           （配置方式参见 常用功能> 访问控制> 过滤规则）

             

六、实施后检查

         检查内容主要包括以下几项：

      1、基础检查                （检查理由：查看设备基础部件的运行情况，保证设备的稳定运行，排除隐患）   

      2、设备状态检查          （检查理由：查看设备运行是否稳定） 

      3、设备日志检查          （检查理由：检查是否产生对应的访问日志、攻击日志；检查系统日志是否存在异常）

      4、服务器访问情况检查 （检查理由：检查被保护的服务器网站访问是否正常，是否设备上架后策略导致部分页面无法访问、无法提交）

      5、库文件更新检查        （检查理由：确保库文件能正常及时更新，使设备能识别最新的web攻击特征及病毒特征）