深信服虚拟化 Web 应用防火墙云 WAF 用户手册说明书

admin管理员组

文章数量:1537269

2024年7月12日发(作者：)

深信服WEB应用防火墙用户手册 典型场景案例集

典型场景案例集

典型场景案例集主要介绍WAF在典型网络环境下的配置案例。整体的配置思路如下图

所示。

10.1. 反向代理案例配置_HTTP

10.1.1. 需求背景

客户业务中存在3台HTTP服务器，在业务高峰期时，某台服务器经常存在负载过高的

情况。同时，经常遭受来自互联网的扫描攻击，给服务器带来较大风险。因此，需要

对外隐藏真实的服务器，减少攻击带来的风险。对内需要将业务负载到各个服务器上，

从而减少负载过高的情况。

文档版本01（2021-03-12） 密级：内部公开 98

深信服WEB应用防火墙用户手册 典型场景案例集

10.1.2. 需求分析

Web服务器遭遇到互联网攻击，需要使用WAF来防护Web服务器的安全。同时，需要

隐藏物理服务器的IP，可以通过反向代理来进行设置。反向代理可以通过算法来把业

务负载到各个物理服务器上，从而减少某台服务器负载过高的问题。

10.1.3. 配置步骤

创建节点池，对节点使用不同的负载均衡算法进行调度到各个服务器上，如下

图所示。

文档版本01（2021-03-12） 密级：内部公开 99

深信服WEB应用防火墙用户手册 典型场景案例集

创建前置策略，将不同的访问源调度到指定节点上，如下图所示。

创建虚拟策略，将服务对外发布，如下图所示。

文档版本01（2021-03-12） 密级：内部公开 100

深信服WEB应用防火墙用户手册 典型场景案例集

配置安全策略，对指定的应用进行安全检测，如下图所示。

访问WAF的IP和端口，返回服务器的内容，如下图所示。

10.2. 反向代理案例配置_HTTPS解密

10.2.1. 需求背景

某企业使用云WAF做Web服务器的防护，但是该Web服务器运行的站点是HTTPS。

用户要求对Web的攻击行为进行安全检测和拦截，并能够发现那些IP对站点发起攻击

行为。

文档版本01（2021-03-12） 密级：内部公开 101

深信服WEB应用防火墙用户手册 典型场景案例集

10.2.2. 需求分析

针对这些需求，需要使用HTTPS解密功能，来对HTTPS流量进行解密，然后发现存在

的攻击行为。

10.2.3. 配置步骤

创建节点池https-server配置https服务器，提供给前置策略使用，如下图所示。

配置前置策略pre-rule，调度节点池配置https-server节点池，如下图所示。

文档版本01（2021-03-12） 密级：内部公开 102

深信服WEB应用防火墙用户手册 典型场景案例集

配置ssl策略，如下图所示。

配置虚拟服务https-test，如下图所示。

配置安全策略，对指定的应用进行安全检测，如下图所示。

文档版本01（2021-03-12） 密级：内部公开 103

深信服WEB应用防火墙用户手册 典型场景案例集

10.2.4. 效果预览

1. 使用浏览器访问虚拟服务

10.60.194.158:6688/

，成功访问到前置

策略配置的https服务器节点。

10.3. 反向代理案例配置_HTTPS卸载

10.3.1. 需求背景

某企业使用云WAF做Web服务器的防护，但是该Web服务器运行的站点是HTTP。为

了防止数据在公网中给截取和篡改，需要在不改变HTTP服务器的情况下，要求客户

端与WAF之间使用HTTPS的形式交互，WAF与服务器之间使用HTTP的形式交互。同

时，用户要求对Web的攻击行为进行安全检测和拦截，并能够发现那些IP对站点发起

攻击行为。

文档版本01（2021-03-12） 密级：内部公开 104

深信服WEB应用防火墙用户手册 典型场景案例集

10.3.2. 需求分析

针对这些需求，需要使用HTTPS卸载功能，在客户端与WAF之间交互中通过加密的形

式，把流量加密成HTTPS。WAF与Web服务器之间对HTTPS流量进行卸载，以HTTP

的形式交互。

10.3.3. 配置步骤

创建节点池http-server配置http服务器，提供给前置策略使用，如下图所示。

文档版本01（2021-03-12） 密级：内部公开 105

深信服WEB应用防火墙用户手册 典型场景案例集

配置前置策略pre-rule，调度节点池配置https-server节点池，如下图所示。

配置ssl策略，如下图所示。

配置虚拟服务https-test，如下图所示。

文档版本01（2021-03-12） 密级：内部公开 106

深信服WEB应用防火墙用户手册 典型场景案例集

配置安全策略，对指定的应用进行安全检测，如下图所示：

10.3.4. 效果预览

使用浏览器访问虚拟服务

10.60.194.158:6688/DVWA-master/

，成功访问到前置策略配

置的http服务器节点。

文档版本01（2021-03-12） 密级：内部公开 107

深信服WEB应用防火墙用户手册 运维管理

运维管理

本章主要讲解产品的运维管理，为管理员例行维护设备以及简单故障排除提供指导。

11.1. 日常巡检

日常巡检主要是为了保证设备正常运行，防止设备出现异常影响到业务的运行，从而

带来较大的风险。

11.1.1. 设备运行检查

通过设备控制台的设备状态，检查CPU、内存、磁盘占用率是否长期居高，如果CPU、

内存长期居高，请按照如下步骤进行操作。登录设备后显示的总览就是设备状态。

11.1.2. 设备配置信息检查

设备配置备份

为了保证网络的稳定运行，建议客户每个月进行一次配置的备份，以防止云WAF系统

意外瘫痪导致系统无法迅速恢复。

方法：登陆云WAF控制台，点击[系统/系统维护/备份与恢复]，点击<下载当前配置>下

载配置并妥善保存即可，如下图所示。

文档版本01（2021-03-12） 密级：内部公开 108

深信服WEB应用防火墙用户手册 运维管理

规则库版本检查

为了确保设备能够正常识别最新的网络应用，建议定期检查设备规则库是否更新，如

果更新异常，请检查设备自身能否访问外网。

11.1.3. 设备安全检查

控制台账号安全性检查

1. 控制台管理员密码是否为默认的admin或123456之类的简单密码。如果是默认密

码或简单密码，请立即修改密码。

2. 控制台管理员密码一个月内有没有修改过，如果控制台管理员密码一个月内都没

有修改过，请立即修改并妥善保存密码。

3. 控制台是否有多余账号，如sangfor、test以及公司英文等不必要的简单账号，如

果有的话，请删除多余账号，仅保留授权的管理员账号。

设备日志信息检查

通过[系统/排障/系统故障日志]，可以看到设备各模块运行状态日志，可通过日志判断

设备各模块是否正常运行。

文档版本01（2021-03-12） 密级：内部公开 109

深信服WEB应用防火墙用户手册 运维管理

要查看的级别以及模块的日志。

系统日志包含信息、告警、错误、调试四个级别，点击<日志选项设置>，可以过滤需

确认是否设备程序运行故障。

如果系统日志中出现大量错误日志和告警日志，请及时联系深信服技术支持工程师，

11.2. 辅助工具使用

11.2.1. 命令控制台

SANGFOR WAF命令控制台提供一个简单的控制台命令行界面，可用于对设备的一

些简单信息进行查看，支持的命令包括：

vlan(查看vlan上的接口)

arp（查看设备的arp表）

ifconfig（查看设备网口信息）

ping（测试主机地址的连通性）

文档版本01（2021-03-12） 密级：内部公开 110

深信服WEB应用防火墙用户手册 运维管理

telnet（测试端口连通性）

route（显示设备的路由表）

traceroute（跟踪数据包转发路径）

在[系统/排障/分析工具]页面直接输入命令回车即可，ping、telnet、traceroute命令用

法和PC相同。

11.2.2. 设备巡检

为了保证设备的稳定运行，建议客户每个月对设备进行一次巡检，设备软件版本在

8.0.28及以上的直接在控制台页面上进行巡检。

方法：登陆WAF控制台，点击[系统/排障/分析工具]，选择技术支持工具，在设备巡检

选项中点击<开始巡检>即可进行巡检并弹出设备巡检结果页面。

具体巡检结果如下，如有不合格的选项，可参考巡检意见进行调整。如下图所示。

文档版本01（2021-03-12） 密级：内部公开 111

深信服WEB应用防火墙用户手册 产品升级指导

产品升级指导

产品升级指导主要介绍设备系统升级的具体方法以及升级前后的检查。

12.1. 产品升级步骤

1. 内网升级场景，升级前需提前准备好升级包，确保升级包的完整性。

2. 在[深信服社区/自助服务/软件下载/Web应用防火墙]获取升级包下载链接，下载

并保存到电脑本地。

3. 使用MD5校验工具校验升级包的MD5，保障升级包的完整性。

4. 在线升级场景，升级前需保障待升级设备和服务端网络畅通。

12.2. 产品升级前检查

升级前需要确认本版本是否支持直接升级到目标版本，升级是否影响老功能特性，升

级后是否需要重启，升级时间估算，用户配置、日志、数据是否平滑升级、升级限定

条件。请先登录深信服社区，访问如下链接查找目标版本升级文档确认升级细节：

/?id=service:download&action=view&fid=1000

#/152/all/undefined

12.3. Web系统升级指导

Web系统升级方法用于升级要求方法简明，设备本身可以访问公网或者云端服务器已

放置升级包等升级场景使用，这种升级方式升级过程更加直观，升级过程更透明，无

需额外工具配合。

文档版本01（2021-03-12） 密级：内部公开 112

深信服WEB应用防火墙用户手册 产品升级指导

12.3.1. Web系统升级步骤

Web系统升级只支持离线升级。

进入设备Web控制台[系统管理/系统更新/系统升级]路径后，点击<升级到其他版本>

按钮，上传本地升级包，并按照提示操作，完成升级。

12.3.2. Web系统升级操作方法

进入[系统/系统维护/系统升级]页面，如下图所示。

点击<离线升级>，进入到[准备升级包]页面，如下图所示。

点击<上传本地升级包>，选择下载好的版本升级包进行上传，如下图所示。

：

上传升级包过程中不能关闭该页面，否则需要重新进入页面再执行升级操作。

升级包上传完成后，点击<下一步>完成配置的备份即可开始升级，升级完成后

设备自动重启。完成重启后，登录设备控制台，检查设备升级后状态。

文档版本01（2021-03-12） 密级：内部公开 113

深信服WEB应用防火墙用户手册 产品升级指导

12.4. 产品升级后检查

设备健康检查：

序号

1

2

3

4

5

检查项

设备CPU使用率是否正常

设备内存使用率是否正常

系统日志是否有错误或告警日志

检查是否有备份设备配置

规则库是否升级到最新

检查要求

正常情况，CPU平均使用率应70%以下。

正常情况，内存平均使用率应70%以下。

正常情况系统日志应无错误日志，异常情况请联

系厂商处理。

实施完成后，应该备份设备配置，本地存档。

基于应用识别准确度考虑，要求实施完成后，保

证当前规则库更新到最新。

文档版本01（2021-03-12） 密级：内部公开 114

本文标签： 设备升级配置服务器进行