信息安全产品配置与应用-课件 项目8-Web应用防火墙配置

目录ContentsPart01任务目标Part02任务描述Part04任务实施任务8.1-Web应用防火墙保护站点配置Part03知识储备项目8-Web应用防火墙配置任务目标知识目标技能目标素养目标1.理解Web应用防火墙基础知识。2.了解Web应用防火墙的基本功能。3.了解Web应用防火墙的部署模式。1.培养爱思考、勤动手的工作品质。2.培养严谨细致的工作作风和精益求精的工匠精神。1.掌握华为Web应用防火墙的配置与应用。任务描述本任务要完成的工作：公司为保障内网服务器和应用系统的安全，避免遭受针对Web服务的攻击，造成客户信息泄露、网站页面被篡改等风险。项目经理安排小锐对Web应用防火墙进行基础配置，并实现保护内网HTTP服务器等功能。“核高基”就是“核心电子器件、高端通用芯片及基础软件产品”的简称。近年来，一批国产基础软件的领军企业的强势发展给中国软件市场增添了几许信心，而“核高基”犹如助推器，给了国产基础软件更强劲的发展支持力量。知识储备8.1.2Web应用防火墙的功能8.1.1Web应用防火墙简介8.1.3Web应用防火墙的部署模式8.1.4Web应用防火墙的安全规则8.1.1Web应用防火墙简介随着Web技术的广泛应用，OA系统普遍转向Web化服务，许多企业也通过建立官方网站进行宣传展示。然而，将网页公开至互联网也使其容易遭受针对Web服务的攻击，可能导致客户信息泄露、网页内容被篡改等安全风险。因此，Web应用所承载的业务价值引发了人们对Web安全的广泛关注。在如何快速发现和应对安全问题的方案选择上，部署Web应用防火墙成为众多企业的首选。认证:验证用户是否可以获得访问权，确定哪些用户可以访问网络。常用的Web攻击手段有HTTP协议字段攻击、XSS（Corss-siteScripting，跨站脚本攻击）、SQL注入攻击、恶意软件攻击、CC（ChallengeCollapsar，挑战黑洞）攻击、浏览器安全攻击等。WAF（WebApplicationFirewall，Web应用防火墙）针对Web应用程序和Web服务器相关的各种潜在风险和威胁，通过检测、过滤等技术，阻止网络恶意活动和保护Web应用程序免受漏洞利用。8.1.1Web应用防火墙简介针对Web业务系统攻击，WAF充分考虑Web应用系统可能存在的安全风险，通过对网络层、Web服务层、Web应用程序层、应用内容属性进行全方位安全分析与防御。针对各个层面不同的安全属性，分别采取相互独立的安全防御技术针对性防御，从整体上提升Web应用的安全防御能力。WAFWeb服务器用户合法HTTP/HTTPS请求、响应非法HTTP/HTTPS请求、响应8.1.2Web应用防火墙功能Web应用防火墙对来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性和合法性，对非法的请求实时阻断，为Web应用提供保护，主要功能如下。能够对HTTP/HTTPS流量进行解析，可以有效的识别并且能够完整记录HTTP请求头部、请求内容、响应头部、响应内容。能够有效地识别SQL注入、跨站攻击、命令注入、爬虫、盗链、篡改等OWASPTOP10攻击行为。支持网页防篡改功能，实时监测网站服务器是否被非法更改，一旦发现被改则第一时间通知管理员，并形成详细的日志信息。Web应用防火墙通过高速缓存、TCP协议加速实现Web应用加速。提供精准的CC攻击防护，采用多重检测算法。提供Web站点隐藏功能，可以对服务器返回的HTTP头部信息进行隐藏。丰富而完善的可视化管理、审计、报表功能，使得管理员可以更好地了解当前的安全风险趋势。8.1.2Web应用防火墙功能WAF纵深安全防御体系8.1.3Web应用防火墙的部署模式透明代理。透明代理采用串接部署方式，支持即插即用，无需更改网站DNS和服务器配置。用户以Web服务器的IP地址访问网站，简单易用。单链路模式核心交换机防火墙WAF接入交换机Web服务器透明代理模式链路聚合模式核心交换机防火墙WAF接入交换机Web服务器透明代理模式链路聚合链路聚合8.1.3Web应用防火墙的部署模式反向代理。反向代理采用旁路部署方式，网站地址可以位于WAF设备上，也可以位于Web服务器上，适合网络环境较为复杂的场景。核心交换机防火墙WAF接入交换机Web服务器反向代理模式用户HTTP/HTTPS流量反向代理HTTP流量8.1.3Web应用防火墙的部署模式旁路监控。旁路监控模式通常将WAF旁挂于交换机上，交换机配置流量镜像功能，把流量复制一份到WAF上，不影响在线业务，不对Web服务器进行防护，通常用于只需要对应用流量进行分析或日志审计的场景中。核心交换机防火墙WAF接入交换机Web服务器旁路监控模式流量镜像正常业务的HTTP/HTTPS流量8.1.4Web应用防火墙的安全规则WAF对HTTP/HTTPS流量的防护主要通过安全规则（也称策略规则）来实现，WAF的安全规则以规则组、二级规则组、规则分类的形式组织起来，形成一个三级结构。规则组表示一套规则的集合，用户可根据安全需求选择不同的规则组。不同规则组内涵盖的二级规则组内容不同，即能够防御的攻击类型不同。二级规则组协议限制注入攻击跨站攻击通用攻击规则分类跨站脚本攻击针对IE8的跨站攻击其他跨站攻击预设规则规则组低安全级别高安全级别备注：此处规则分类以跨站攻击为例说明。……8.1.4Web应用防火墙的安全规则WAF通过安全规则实现对具体攻击的检测、识别及防护，安全规则由规则编号、规则名称、动作、威胁级别等组成，通过系统失陷对业务造成的影响，将攻击威胁划分不同安全等级，针对不同的安全等级，执行响应的动作，实现对业务流量的访问控制。8.1.4Web应用防火墙的安全规则以二级规则组“注入攻击”为例，其对应的规则分类和详细规则条目如下所示。规则组二级规则组规则分类规则条目任务实施实施场景小锐为XUN公司的网络工程师，公司为保障内网服务器和应用系统的安全，避免遭受针对Web服务的攻击，造成客户信息泄露、网站页面被篡改等风险。项目经理安排小锐对Web应用防火墙进行基础配置，并实现保护内网HTTP服务器等功能。具体配置任务如下：（1）根据拓扑图完成防火墙、路由器、交换机和主机的网络参数的基本配置。（2）配置防火墙各接口所属安全区域。（3）创建安全策略trust_untrust，放行trust区域到untrust区域的流量。创建安全策略any_dmz，放行trust和untrust区域到dmz区域的流量。（4）配置NAPT方式的源NAT，对总部内网主机访问Internet的报文源地址进行转换。（5）配置NATServer，将出口防火墙的出口公网地址映射为Web应用防火墙业务口的前端地址。（6）Web应用防火墙基础配置。（7）配置保护站点，站点名称为internal_web，前端和后端IP地址为00，端口为80，链路模式部署为“代理模式”，配置策略规则为“高安全级别”，其他选项为系统默认。任务实施实施设备1）USG6000V防火墙1台；2）Client机2台；3）S5700交换机2台；4）AR2220路由器1台；5）Server服务器2台。6）云接口2个，绑定员工上网客户端的虚拟网卡和WAF5000应用防火墙虚拟网卡。任务实施实施过程1）配置Client1、Client2的网络基本参数，以Client1为例。Client1参数配置任务实施实施过程2）配置内网HTTP服务器和公网HTTP服务器的网络参数，开启HTTP服务，以内网HTTP服务器为例。内网HTTP服务器网络参数配置内网HTTP服务器配置任务实施实施过程

3）配置防火墙FW1网络基本参数，配置命令如下：[FW1]interfaceGigabitEthernet1/0/1[FW1-GigabitEthernet1/0/1]ipaddress5424[FW1-GigabitEthernet1/0/1]service-manageallpermit[FW1-GigabitEthernet1/0/1]interfaceGigabitEthernet1/0/2[FW1-GigabitEthernet1/0/2]ipaddress24[FW1-GigabitEthernet1/0/2]interfaceGigabitEthernet1/0/0[FW1-GigabitEthernet1/0/0]ipaddress5424[FW1-GigabitEthernet1/0/0]interfaceGigabitEthernet1/0/3[FW1-GigabitEthernet1/0/3]ipadd5424[FW1-GigabitEthernet1/0/3]quit任务实施实施过程

4）划分防火墙FW1的安全区域，将FW1的GE1/0/1口加入trust区域，GE1/0/2口加入untrust区域，GE1/0/0口和GE1/0/3口加入dmz区域。配置命令如下：[FW1]firewallzonetrust[FW1-zone-trust]addinterfaceGigabitEthernet1/0/1[FW1-zone-trust]quit[FW1]firewallzoneuntrust[FW1-zone-untrust]addinterfaceGigabitEthernet1/0/2[FW1-zone-untrust]quit[FW1]firewallzonedmz[FW1-zone-dmz]addinterfaceGigabitEthernet1/0/0[FW1-zone-dmz]addinterfaceGigabitEthernet1/0/3[FW1-zone-dmz]quit任务实施实施过程

5）配置防火墙FW1的安全策略，配置命令如下：[FW1]security-policy[FW1-policy-security]rulenametrust_untrust[FW1-policy-security-rule-trust_untrust]source-zonetrust[FW1-policy-security-rule-trust_untrust]destination-zoneuntrust[FW1-policy-security-rule-trust_untrust]actionpermit[FW1-policy-security-rule-trust_untrust]quit[FW1-policy-security]rulenameany_dmz//trust、untrust访问dmz的安全策略[FW1-policy-security-rule-any_dmz]source-zonetrust[FW1-policy-security-rule-any_dmz]source-zoneuntrust[FW1-policy-security-rule-any_dmz]destination-zonedmz[FW1-policy-security-rule-any_dmz]destination-address24[FW1-policy-security-rule-any_dmz]destination-address24[FW1-policy-security-rule-any_dmz]actionpermit[FW1-policy-security-rule-any_dmz]quit任务实施实施过程

6）FW1上配置EasyIP方式访问外网，对内网主机访问Internet的报文源地址进行转换。配置命令如下：[FW1]nat-policy[FW1-policy-nat]rulenamenat_gz[FW1-policy-nat-rule-nat_gz]source-zonetrust[FW1-policy-nat-rule-nat_gz]destination-zoneuntrust[FW1-policy-nat-rule-nat_gz]actionsource-nateasy-ip[FW1-policy-nat-rule-nat_gz]quit[FW1-policy-nat]quit[FW1]iproute-static054任务实施实施过程

8）配置路由器AR1，模拟Internet环境，配置命令如下：[AR1]interfaceGigabitEthernet0/0/0[AR1-GigabitEthernet0/0/0]ipadd5424[AR1-GigabitEthernet0/0/0]quit[AR1]interfaceGigabitEthernet0/0/1[AR1-GigabitEthernet0/0/1]ipadd24[AR1-GigabitEthernet0/0/1]quit[AR1]intGigabitEthernet0/0/2[AR1-GigabitEthernet0/0/2]ipadd24[AR1-GigabitEthernet0/0/2]quit

7）FW1上配置NATServer，使内网FTP服务器能够对外网提供FTP服务。[FW1]natserverweb_serverprotocoltcpglobal80inside0080任务实施实施过程

9）配置交换机SW1，在SW1上创建VLAN10、VLAN20和VLAN50，并将GE0/0/1口加入VLAN10，GE0/0/2口加入VLAN20，GE0/0/24口加入VLAN50。配置VLAN10的VLANIF接口IP地址为54/24，配置VLAN20的VLANIF接口IP地址为54/24，配置VLAN50的VLANIF接口IP地址为/24。配置命令如下：[SW1]vlanbatch102050[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]portlink-typeaccess[SW1-GigabitEthernet0/0/1]portdefaultvlan10[SW1-GigabitEthernet0/0/1]quit[SW1]interfaceGigabitEthernet0/0/2[SW1-GigabitEthernet0/0/2]portlink-typeaccess[SW1-GigabitEthernet0/0/2]portdefaultvlan20[SW1-GigabitEthernet0/0/2]quit[SW1]interfaceGigabitEthernet0/0/24[SW1-GigabitEthernet0/0/24]portlink-typeaccess[SW1-GigabitEthernet0/0/24]portdefaultvlan50[SW1-GigabitEthernet0/0/24]quit[SW1]interfaceVlanif10[SW1-Vlanif10]ipaddress5424[SW1-Vlanif10]quit[SW1]interfaceVlanif20[SW1-Vlanif20]ipaddress5424[SW1-Vlanif20]quit[SW1]interfaceVlanif50[SW1-Vlanif50]ipaddress24[SW1-Vlanif50]quit任务实施实施过程

10）交换机SW1与防火墙FW1采用OSPF动态路由协议互联，配置命令如下：[SW1]ospf1//在SW1上启用OSPF路由协议，区域号为0，进程号为1，宣告所有部门的子网[SW1-ospf-1]area0[SW1-ospf-1-area-]network54[SW1-ospf-1-area-]network54[SW1-ospf-1-area-]network[SW1-ospf-1-area-]quit[SW1-ospf-1]quit[FW1]ospf1//在FW1上启用OSPF路由协议，区域号为0，进程号为1，宣告/24[FW1-ospf-1]area0[FW1-ospf-1-area-]network54[FW1-ospf-1-area-]quit[FW1-ospf-1]default-route-advertisealways//防火墙FW1配置了默认路由，强制通告默认路由[FW1-ospf-1]quit任务实施实施过程

11）总部机构Client1使用HttpClient可以正常访问公网HTTP服务器，如图所示。Client1访问公网HTTP服务器任务实施实施过程

12）员工上网客户端通过云接口与物理主机的虚拟网卡相连，物理主机的虚拟网卡IP地址配置50/24，网关为54。云接口具体配置如图示。员工上网客户端使用云接口配置任务实施实施过程

13）Web应用防火墙通过云接口与物理主机的虚拟网卡相连，物理主机的虚拟网卡使用“VMwareNetworkAdapterVMnet1”，IP地址配置/24，不配置网关。云接口具体配置如图所示。Web应用防火墙使用云接口配置任务实施实施过程

14）Web应用防火墙基础配置。（1）运行“VMwareWorkstationPro”软件，打开“HUAWEI-WAF5000-VV200R001C00”镜像文件，导入成功后如图所示。导入WAF5000虚拟机任务实施实施过程

14）Web应用防火墙基础配置。（2）选择“HUAWEI-WAF5000-VV200R001C00”虚拟机，单击“编辑虚拟机设置”，在“虚拟机设置”窗口，选择“网络适配器”，在“网络连接”选项中，单击“自定义（U）：特定虚拟网络”，选择“VMnet0（仅主机模式）”。同理，“网络适配器2”配置为“VMnet1（仅主机模式）”。虚拟机设置虚拟机配置的网络适配器VMnet0对应于WAF5000防火墙的管理口eth0，网络适配器2VMnet1对应于WAF5000防火墙的业务口eth1。任务实施实施过程

14）Web应用防火墙基础配置。（3）开启HUAWEI-WAF5000-VV200R001C00”虚拟机，启动成功后等待输入用户名和密码，WAF5000默认用户名是admin，密码是Admin@123。验证通过后，弹出配置界面如图所示。WAF5000初始配置页面任务实施实施过程

14）Web应用防火墙基础配置。（4）选择“2.SystemConfig”选项，结果如图所示。WAF5000配置页面任务实施实施过程

14）Web应用防火墙基础配置。（5）选择“1.SetAdminIPAdderss”选项，配置WAF5000的管理口eth0的IP地址、网络掩码、网关及DNS。如图所示。完成上述配置后，退回上一级菜单，输入“x”退出配置页面。。配置管理口IP地址任务实施实施过程

14）Web应用防火墙基础配置。（6）在物理机上使用IE浏览器访问00，如图所示。Web应用防火墙登录界面任务实施实施过程

14）Web应用防火墙基础配置。（7）Web应用防火墙登录界面输入用户为admin，密码为Admin@123，首次登录后，系统提示修改管理员密码，如图所示。修改用户信息页面任务实施实施过程

14）Web应用防火墙基础配置。（8）选择“系统”选项，可以查看当前系统的授权信息，如图所示。系统的授权信息任务实施实施过程

15）配置保护站点，站点名称为internal_web，前端和后端IP地址为00，端口为80，链路模式部署为“代理模式”，配置策略规则为“高安全级别”，其他选项为系统默认。（1）在WAF5000首页界面中选择“配置”选项，再从左侧的选项中选择“保护站点”选项，如图所示。保护站点任务实施实施过程

15）配置保护站点，站点名称为internal_web，前端和后端IP地址为00，端口为80，链路模式部署为“代理模式”，配置策略规则为“高安全级别”，其他选项为系统默认。（1）在WAF5000首页界面中选择“配置”选项，再从左侧的选项中选择“保护站点”选项，如图所示。保护站点任务实施实施过程

15）配置保护站点，站点名称为internal_web，前端和后端IP地址为00，端口为80，链路模式部署为“代理模式”，配置策略规则为“高安全级别”，其他选项为系统默认。（2）单击“配置向导”按钮，进入图所示的保护站点配置界面。保护站点配置页面任务实施实施过程

15）配置保护站点，站点名称为internal_web，前端和后端IP地址为00，端口为80，链路模式部署为“代理模式”，配置策略规则为“高安全级别”，其他选项为系统默认。（3）配置保护站点名称为internal_web，IP地址为00，配置接入链路接口前端和后端为eth1，链路地址前端和后端IP地址为00，端口为80，链路模式部署为“代理模式”，配置策略规则为“高安全级别”，客户端IP地址透明为“不透明”，开启X-Forward-For字段名称，其他配置保持默认配置。单击“创建”按钮。如图所示。保护站点配置任务实施实施过程

15）配置保护站点，站点名称为internal_web，前端和后端IP地址为00，端口为80，链路模式部署为“代理模式”，配置策略规则为“高安全级别”，其他选项为系统默认。（4）创建完成后，在如图所示的界面出现序号为1的站点记录，但此时该配置未生效，需要在右上角单击“应用更改”按钮。应用更改配置任务实施实施过程

15）配置保护站点，站点名称为internal_web，前端和后端IP地址为00，端口为80，链路模式部署为“代理模式”，配置策略规则为“高安全级别”，其他选项为系统默认。（5）此时，系统自动跳转到“系统”选项界面中的“系统维护”中，在“操作”选项栏中单击“确认”按钮，才能完成保护站点的配置操作。如图所示。确认应用更改配置任务实施实施过程

15）配置保护站点，站点名称为internal_web，前端和后端IP地址为00，端口为80，链路模式部署为“代理模式”，配置策略规则为“高安全级别”，其他选项为系统默认。（6）在物理机上使用IE浏览器访问00，网站访问正常，Web应用防火墙部署成功。如图所示。访问内网HTTP服务界面任务实施实施过程

15）配置保护站点，站点名称为internal_web，前端和后端IP地址为00，端口为80，链路模式部署为“代理模式”，配置策略规则为“高安全级别”，其他选项为系统默认。（7）在物理机上使用IE浏览器输入URL00/index.asp?id=1%20and%201=1模拟SQL注入攻击，WAF有攻击日志，告警信息如图所示。模拟SQL注入攻击告警信息任务小结本任务介绍了Web应用防火墙的概念、功能、常用部署模式及安全规则等知识。通过实施Web应用防火墙保护站点配置任务，掌握Web应用防火墙基础配置方法，深化了对Web应用防火墙部署模式的理解，在配置Web应用防火墙保护站点功能时需关注接入链路、链路地址、链路模式、安全规则等技术要点，保护内网服务器和Web应用系统免受网络攻击，提高了内网服务器和Web应用系统的安全性。思考题1.简述Web应用防火墙安全规则的组织形式及启用安全规则的一般流程。谢谢观看！目录ContentsPart01任务目标Part02任务描述Part04任务实施任务8.2-Web应用防火墙访问审计与攻防配置Part03知识储备项目8-Web应用防火墙配置任务目标知识目标技能目标素养目标1.了解Web应用防火墙访问审计功能。2.了解Web应用防火墙CC攻击防御功能。1.培养爱思考、勤动手的工作品质。2.培养独立思考、解决问题的能力。1.掌握Web应用防火墙访问审计配置。2.掌握Web应用防火墙CC攻击防御配置任务描述本任务要完成的工作：公司为保障内网服务器和Web应用系统的安全，避免遭受针对Web服务的攻击，造成客户信息泄露、网站页面被篡改等风险。项目经理安排小锐对Web应用防火墙进行访问审计、CC攻击防御等配置，大大提高了内网服务器和Web应用系统的安全性。细节决定成败。“尽精微”是凡事求落实、求具体、求细致、求效率、求质量。执行中跟进、检查、监管、控制，盯住过程，注重结果。多些精益求精的执着，消除可能存在的风险隐患，稳扎稳打，善作善成，积微成著。知识储备8.2.2Web应用防火墙CC攻击防御8.2.1Web应用防火墙访问审计8.2.1Web应用防火墙访问审计Web应用防火墙可记录特定保护站点的所有客户端的访问记录，包括客户端IP，访问URL，请求方法，服务器响应码等等，并将这些信息已表单的形式展示出来。Web应用防火墙的访问审计功能，支持用户查询特定受保护站点的历史访问日志，并可从客户端IP、URL、访问时间、主机名等多个维度进行筛选和统计分析。该功能适用于需要对每个用户的每次访问行为进行严格审计与追溯的场景，助力企业满足合规要求并加强安全事中事后管控能力。华为WAF5000应用防火墙在开启访问审计功能后，系统会记录和保存保护站点的每个用户每次的访问请求及访问数据，这会消耗很多系统资源。在每秒新建连接数较大的环境中谨慎启用，建议开启后通过“状态>系统概况”观察一段时间。8.2.2Web应用防火墙CC攻击防御CC（ChallengeCollapsar，挑战黑洞）攻击是DDOS攻击的一种，也是一种常见的网站攻击方法，攻击者通过代理服务器或者僵尸机向受害主机不停地发送大量貌似合法的请求，造成对方服务器资源耗尽，一直到宕机崩溃。目前流量型的攻击方式由于成本很高，攻击事件越来越少，而基于应用层的CC攻击由于攻击成本低越来越常见，攻击者只需找一些代理服务器就可以完成。攻击者代理服务器Web服务器大量连接请求资源耗尽宕机崩溃8.2.2Web应用防火墙CC攻击防御WAF可基于请求字段细粒度检测CC攻击，支持请求速率和请求集中度双重算法检测，可基于目标网站的访问路径、目的IP地址、目的端口、请求方法等多种匹配条件对访问网站服务器的流量进行检查。对检测异常的流量进行阻断或告警处理。请求速率是某个客户端在一定时间内访问某个URL的访问次数。请求集中度代表某个客户端的访问请求集中在同一个URL的程度。8.2.2Web应用防火墙CC攻击防御WAF可以对CC慢速攻击行为进行防护，防护的类型包括请求头防御和请求体防御，开启该防护功能后，WAF通过对请求头和请求体的请求速率和请求集中度进行检测和识别，对检测异常的流量进行阻断或告警处理。CC慢速攻击与传统的DDoS攻击不同，他不是通过发送大量的请求来占用目标服务器的带宽或处理能力，而是利用HTTP协议的特性，发送一些长时间保持的低速请求，持续占用服务器的连接资源，这种攻击与正常的连接请求相似，很难被传统安全设备检测、识别和阻止。8.2.2Web应用防火墙CC攻击防御WAF配置流程开始配置管理IP配置部署模式新增保护站点规则组配置可选配置CC攻击防御访问控制消息通知敏感词过滤IP信誉库应用访问控制上线后调整结束开始结束必选步骤可选步骤8.2.2Web应用防火墙CC攻击防御华为WAF5000应用防火墙的CC攻击防御的配置过程结束开始新建CC规则，配置匹配条件配置检测对象配置测量指标保存规则并生效按需开启CC攻击防御开始任务实施实施场景小锐为XUN公司的网络工程师，公司为保障内网服务器和Web应用系统的安全，避免遭受针对Web服务的攻击，造成客户信息泄露、网站页面被篡改等风险。项目经理安排小锐对Web应用防火墙进行访问审计、CC攻击防御等配置。配置任务如下：（1）根据拓扑图完成防火墙、路由器、交换机和主机的网络参数的基本配置。（2）配置防火墙各接口所属安全区域。（3）创建安全策略trust_untrust，放行trust区域到untrust区域的流量。创建安全策略any_dmz，放行trust和untrust区域到dmz区域的流量。（4）配置NAPT方式的源NAT，对总部内网主机访问Internet的报文源地址进行转换。（5）配置NATServer，将出口防火墙的出口公网地址映射为Web应用防火墙业务口的前端地址。（6）Web应用防火墙进行访问审计、CC攻击防御等配置。任务实施实施设备1）USG6000V防火墙1台；2）Client机2台；3）S5700交换机2台；4）AR2220路由器1台；5）Server服务器2台。6）云接口2个，绑定员工上网客户端的虚拟网卡和WAF5000应用防火墙虚拟网卡。任务实施实施过程1）配置Client1、Client2的网络基本参数，以Client1为例。Client1参数配置任务实施实施过程2）配置内网HTTP服务器和公网HTTP服务器的网络参数，开启HTTP服务，以内网HTTP服务器为例。内网HTTP服务器网络参数配置内网HTTP服务器配置任务实施实施过程

3）配置防火墙FW1网络基本参数，配置命令如下：[FW1]interfaceGigabitEthernet1/0/1[FW1-GigabitEthernet1/0/1]ipaddress5424[FW1-GigabitEthernet1/0/1]service-manageallpermit[FW1-GigabitEthernet1/0/1]interfaceGigabitEthernet1/0/2[FW1-GigabitEthernet1/0/2]ipaddress24[FW1-GigabitEthernet1/0/2]interfaceGigabitEthernet1/0/0[FW1-GigabitEthernet1/0/0]ipaddress5424[FW1-GigabitEthernet1/0/0]interfaceGigabitEthernet1/0/3[FW1-GigabitEthernet1/0/3]ipadd5424[FW1-GigabitEthernet1/0/3]quit任务实施实施过程

4）划分防火墙FW1的安全区域，将FW1的GE1/0/1口加入trust区域，GE1/0/2口加入untrust区域，GE1/0/0口和GE1/0/3口加入dmz区域。配置命令如下：[FW1]firewallzonetrust[FW1-zone-trust]addinterfaceGigabitEthernet1/0/1[FW1-zone-trust]quit[FW1]firewallzoneuntrust[FW1-zone-untrust]addinterfaceGigabitEthernet1/0/2[FW1-zone-untrust]quit[FW1]firewallzonedmz[FW1-zone-dmz]addinterfaceGigabitEthernet1/0/0[FW1-zone-dmz]addinterfaceGigabitEthernet1/0/3[FW1-zone-dmz]quit任务实施实施过程

5）配置防火墙FW1的安全策略，配置命令如下：[FW1]security-policy[FW1-policy-security]rulenametrust_untrust[FW1-policy-security-rule-trust_untrust]source-zonetrust[FW1-policy-security-rule-trust_untrust]destination-zoneuntrust[FW1-policy-security-rule-trust_untrust]actionpermit[FW1-policy-security-rule-trust_untrust]quit[FW1-policy-security]rulenameany_dmz//trust、untrust访问dmz的安全策略[FW1-policy-security-rule-any_dmz]source-zonetrust[FW1-policy-security-rule-any_dmz]source-zoneuntrust[FW1-policy-security-rule-any_dmz]destination-zonedmz[FW1-policy-security-rule-any_dmz]destination-address24[FW1-policy-security-rule-any_dmz]destination-address24[FW1-policy-security-rule-any_dmz]actionpermit[FW1-policy-security-rule-any_dmz]quit任务实施实施过程

6）FW1上配置EasyIP方式访问外网，对内网主机访问Internet的报文源地址进行转换。配置命令如下：[FW1]nat-policy[FW1-policy-nat]rulenamenat_gz[FW1-policy-nat-rule-nat_gz]source-zonetrust[FW1-policy-nat-rule-nat_gz]destination-zoneuntrust[FW1-policy-nat-rule-nat_gz]actionsource-nateasy-ip[FW1-policy-nat-rule-nat_gz]quit[FW1-policy-nat]quit[FW1]iproute-static054任务实施实施过程

8）配置路由器AR1，模拟Internet环境，配置命令如下：[AR1]interfaceGigabitEthernet0/0/0[AR1-GigabitEthernet0/0/0]ipadd5424[AR1-GigabitEthernet0/0/0]quit[AR1]interfaceGigabitEthernet0/0/1[AR1-GigabitEthernet0/0/1]ipadd24[AR1-GigabitEthernet0/0/1]quit[AR1]intGigabitEthernet0/0/2[AR1-GigabitEthernet0/0/2]ipadd24[AR1-GigabitEthernet0/0/2]quit

7）FW1上配置NATServer，使内网FTP服务器能够对外网提供FTP服务。[FW1]natserverweb_serverprotocoltcpglobal80inside0080任务实施实施过程

9）配置交换机SW1，在SW1上创建VLAN10、VLAN20和VLAN50，并将GE0/0/1口加入VLAN10，GE0/0/2口加入VLAN20，GE0/0/24口加入VLAN50。配置VLAN10的VLANIF接口IP地址为54/24，配置VLAN20的VLANIF接口IP地址为54/24，配置VLAN50的VLANIF接口IP地址为/24。配置命令如下：[SW1]vlanbatch102050[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]portlink-typeaccess[SW1-GigabitEthernet0/0/1]portdefaultvlan10[SW1-GigabitEthernet0/0/1]quit[SW1]interfaceGigabitEthernet0/0/2[SW1-GigabitEthernet0/0/2]portlink-typeaccess[SW1-GigabitEthernet0/0/2]portdefaultvlan20[SW1-GigabitEthernet0/0/2]quit[SW1]interfaceGigabitEthernet0/0/24[SW1-GigabitEthernet0/0/24]portlink-typeaccess[SW1-GigabitEthernet0/0/24]portdefaultvlan50[SW1-GigabitEthernet0/0/24]quit[SW1]interfaceVlanif10[SW1-Vlanif10]ipaddress5424[SW1-Vlanif10]quit[SW1]interfaceVlanif20[SW1-Vlanif20]ipaddress5424[SW1-Vlanif20]quit[SW1]interfaceVlanif50[SW1-Vlanif50]ipaddress24[SW1-Vlanif50]quit任务实施实施过程

10）交换机SW1与防火墙FW1采用OSPF动态路由协议互联，配置命令如下：[SW1]ospf1//在SW1上启用OSPF路由协议，区域号为0，进程号为1，宣告所有部门的子网[SW1-ospf-1]area0[SW1-ospf-1-area-]network54[SW1-ospf-1-area-]network54[SW1-ospf-1-area-]network[SW1-ospf-1-area-]quit[SW1-ospf-1]quit[FW1]ospf1//在FW1上启用OSPF路由协议，区域号为0，进程号为1，宣告/24[FW1-ospf-1]area0[FW1-ospf-1-area-]network54[FW1-ospf-1-area-]quit[FW1-ospf-1]default-route-advertisealways//防火墙FW1配置了默认路由，强制通告默认路由[FW1-ospf-1]quit任务实施实施过程

11）总部机构Client1使用HttpClient可以正常访问公网HTTP服务器，如图所示。Client1访问公网HTTP服务器任务实施实施过程

12）员工上网客户端通过云接口与物理主机的虚拟网卡相连，物理主机的虚拟网卡IP地址配置50/24，网关为54。云接口具体配置如图示。员工上网客户端使用云接口配置任务实施实施过程

13）Web应用防火墙通过云接口与物理主机的虚拟网卡相连，物理主机的虚拟网卡使用“VMwareNetworkAdapterVMnet1”，IP地址配置/24，不配置网关。云接口具体配置如图所示。Web应用防火墙使用云接口配置任务实施实施过程

14）Web应用防火墙基础配置。（1）运行“VMwareWorkstationPro”软件，打开“HUAWEI-WAF5000-VV200R001C00”镜像文件，导入成功后如图所示。导入WAF5000虚拟机任务实施实施过程

14）Web应用防火墙基础配置。（2）选择“HUAWEI-WAF5000-VV200R001C00”虚拟机，单击“编辑虚拟机设置”，在“虚拟机设置”窗口，选择“网络适配器”，在“网络连接”选项中，单击“自定义（U）：特定虚拟网络”，选择“VMnet0（仅主机模式）”。同理，“网络适配器2”配置为“VMnet1（仅主机模式）”。虚拟机设置虚拟机配置的网络适配器VMnet0对应于WAF5000防火墙的管理口eth0，网络适配器2VMnet1对应于WAF5000防火墙的业务口eth1。任务实施实施过程

14）Web应用防火墙基础配置。（3）开启HUAWEI-WAF5000-VV200R001C00”虚拟机，启动成功后等待输入用户名和密码，WAF5000默认用户名是admin，密码是Admin@123。验证通过后，弹出配置界面如图所示。WAF5000初始配置页面任务实施实施过程

14）Web应用防火墙基础配置。