Waf---VLAN配置说明

1目的
VLAN功能是为了解决WAF接在交换机的trunk口时,WAF无法识别数据包的问题。

具体说明如下:
当WAF与上下游交换机连接是通过trunk口连接时,由于传输的数据包按照802.1q协议在链路层中增加了4个字节来标识vlan id,所以WAF在正常状态下无法解析数据包内容,无法处理保护服务数据包,只能直接转发。

在这种环境下,需要将WAF中对应的网络接口(在透明模式下就是使用的网桥)加入目标vlan中,从而使得WAF可以解析802.1q的数据包。

注:目前反向代理模式下不支持VLAN功能

2典型部署环境与WAF配置

1212.jpg

在该网络环境中WEB服务器在VLAN1003中,邮件服务器在VLAN4095中,WAF接在两个trunk口之间。
当要保护10.16.172.157这个服务时,需要进行如下操作:

  1. 添加vlan:v_1003,vlan_id为1003,网口为br_default(如果不是用默认桥,就选择自定义的桥)
  2. 修改v_1003,配置IP为10.16.172.158/26
  3. 在策略路由中添加:0.0.0.0/0.0.0.0/10.16.172.129/v_1003
  4. 添加服务test,保护主机为10.16.172.157
  5. 在服务链路绑定页面,绑定test与v_1003

12121212.jpg

标签: waf