WAF培训2-基础配置与部署模式

1、基础配置和部署模式唐进元培训目标本节培训的目标是介绍在初次使用本节培训的目标是介绍在初次使用DCWAF设备时，使用串口或带外口两种连设备时，使用串口或带外口两种连接方式进行初始配置，以及根据用户不同的需求和网络环境，选择不同的部接方式进行初始配置，以及根据用户不同的需求和网络环境，选择不同的部署方式：透明、反向代理、旁路模式。署方式：透明、反向代理、旁路模式。第一部分：基础配置基础配置不同型号的设备接口映射有所不同设备接口出厂配置说明1串口线连接Console口，CLI命令初始配置串口连接初始配置2网线连接带外口，Web界面初始配置带外口连接初始配置3第二部分：部署模式部署模式不改变现有网络，

2、不会对现有业务有任何影响透明模式1改变现有网络，网站IP地址对外不可见反向代理模式2连接交换机镜像端口，只能监听数据传输旁路模式3第一部分 基础配置简介简介将DCWAF按照安装手册指导安装完毕后，用户需要为DCWAF搭建合适的配置环境，然后进行配置。DCWAF支持通过串口和带外口两种连接方式进行配置。串口连接：通过串口线连接WAFConsole口，连接方式简单，使用CLI命令行初始配置。 带外口连接：通过网线连接WAF的带外口，需配置PC网络，使用Web界面进行初始配置，操作更加简单直观。设备接口出厂配置（以WAF 506为例）WAF506的ETH4口是带外口，ETH5口是管理口。ETH以太网

3、口以太网口最左端上方标有“Console”的接口，是用于连接WAF设备的串口。Console串口串口设备接口出厂配置-带外口和管理口映射产品型号带外口管理口WAF100eth2eth3WAF200eth2eth3WAF506eth4eth5WAF546eth4eth5WAF2046eth4eth5WAF5044eth4eth5使用带外口连接使用带外口连接WAF进行初次配置进行初次配置时，由于时，由于WAF不同型号的设备的带不同型号的设备的带外口和管理口有所不同，请参照右外口和管理口有所不同，请参照右侧的映射表根据设备型号选择对应侧的映射表根据设备型号选择对应的的eth口进行连接。口进行连接。初

4、始配置完成后，如果使用管理口初始配置完成后，如果使用管理口进行进行WAF的管理，也需参照相应型的管理，也需参照相应型号的管理号的管理eth口映射进行连接配置。口映射进行连接配置。串口连接配置串口线连接串口线连接WAF和和PC：使用用标准的RS-232 串口线缆，将PC 的串口与DCWAF的Console口连接起来，如下图所示。串口连接配置使用客户端连接使用客户端连接WAF在PC上运行终端仿真程序（如Windows下的超级终端等）建立与DCWAF的连接。按照下表配置终端参数：参数数值波特率115200 bit/s数据位8奇偶校验无停止位1数据流控制位无串口连接配置使用客户端连接使用客户端连接下面

5、以超级终端为例，按照上面的表进行配置和连接。 “连接时使用”选择PC连接WAF的COM口，然后进行参照上面的表进行端口配置。串口连接配置CLI登录到登录到WAF超级终端配置好后，进行连接。 如果WAF已经加电启动的话，会显示提示“DCWAF login：”，如下图。输入默认管理员名称“cliadmin”并敲回车键，界面出现密码提示“Password”，输入默认密码“cliadmin”并敲回车键，此时用户便成功登录并且进入CLI 配置界面。串口连接配置CLI登录到登录到WAF登录成功后，显示欢迎界面，如下图，键入“help”或“h”命令可查看CLI命令帮助。串口连接配置使用使用ifconfig配

6、置管理口配置管理口IP先确保已经把管理口成功连接到管理网络环境中（如WAF 500，应使用eth5接口进行连接），管理口需要配置的IP地址，请参考管理端到WAF所使用的网络拓扑环境。如果是管理员的网络和WAF管理口在同一子网中，则直接配置可用的IP就可以了。例如二者都在网络为/24中，则可配置如下：ifconfig mng netmask 如果不在同一子网，则还需要配置网关。例如：WAF管理口所在网络为/24，网关为54，而管理员的管理网络为/24，则可配置

7、如下：ifconfig mng netmask gateway 54配置完成后ifconfig show可查看是否配置成功。注意：这种管理口配置方式在设备重启后不能保存，请在Web界面登录后在网络配置模块进行管理口配置（参考带外口连接配置一节的Web界面配置管理口IP）。串口连接配置通过通过WEB浏览器登录浏览器登录WAF管理口配置完成后，管理员就可以通过浏览器地址栏输入，使用网页登录WAF进行管理配置了。（注意：在登录时会出现安全警报界面，提示是否继续，请选择“是”）。出现登录界面后

8、，输入正确的用户名和密码（初始登录用户名是admin，密码是admin123）和验证码，然后单击【登录】或按回车键，进入WAF的主页，如下图所示。带外口连接配置使用带外口连接配置使用带外口连接配置除使用串口的CLI 进行配置以外，DCWAF还提供Web界面配置方式，可以更简便与直观地对设备进行管理与配置。请依据使用WAF型号，请参照“带外口和管理口映射”部分，确定设备使用的ETH带外口。带外口的默认IP 地址/24（不可修改），用于初次使用WAF时通过该接口访问系统的Web管理 页面。下面还是以DCWAF 500型号为例，说明如何通过该方式进行连接配置：1. 将管理PC

9、 的IP 地址设置为与/24 同网段的IP 地址，并且用网线将管理PC与DCWAF的ETH4接口进行连接。2. 在管理PC 的Web 浏览器中访问地址 并按回车键。出现安全警报界面，如下图所示（注意：不同的IE版本，安全警报界面有所不同）带外口连接配置Web界面配置管理口界面配置管理口IP如果带外口使用的网络并不是用户常规的管理环境，在使用带外口方式登录WAF后，请使用网络配置对管理口进行配置。例如，WAF506的配置界面如下（如需配置路由，请在高级网络配置下进行配置），配置完成后，通过此管理口IP进行WAF的管理。第二部分 WAF

10、部署模式 透明反向代理反向代理 旁路部署模式INTERNET交换交换防火墙防火墙DMZWAFWEB服务器服务器1WEB服务器服务器2日志日志服务器服务器认证认证服务器服务器管理区管理区透明部署模式拓扑 在透明模式部署下，不会对现有业务有任何影响。用户访问的服务地址，仍然是web服务器的真实地址。 而web服务器看到的也是用户的真正IP。 系统默认有一个网桥，可以添加多个网桥，同时进行多个链路的保护功能，支持vlan环境的透明部署。透明部署模式配置反向代理部署模式拓扑INTERNET交换交换防火墙防火墙DMZWAFWEB服务器服务器1WEB服务器服务器2日志日志服务器服务器认证认证服务器服务器管理区管理区反向代理部署配置 在反向代理模式部署下，用户访问的服务地址，不再是web服务器的真实地址，而是WAF的地址。 反向代理模式下，可配置多个出口IP，WAF确保每个出口IP均可访问被保护的服务，确保每个服务均在保护之下。 旁路部署模式INTERNET交换交换防火墙防火墙DMZWAFWEB服务器服务器1WEB服务器服务器2日志日志服务器服务器认证认证服务器服务器管理区管理区旁路部署配置