Azure上部署Barracuda WAF叢集 --- 2

前面一篇文章講了如何在Azure上部署Barracuda。這篇文章聊一聊如何配置Barracuda。

1. License

向Barracuda的銷售人員申請WAF的License。得到License後打開剛剛安裝的Barracuda的管理界面：

http://azurebrcd.chinacloudapp.cn:8001

http://azurebrcd.chinacloudapp.cn:8002

看到如下頁面：

點選I already have a license Token，出現：

輸入得到的Token。Domain填寫自己的Domain。

确定後，等待其初始化。

1. 更改初始密碼

初始化好後，看到登陸頁面：

輸入使用者名和密碼，預設的為admin/admin。

登陸後，在Administration裡修改密碼：

輸入老密碼，和新密碼：

1. 建立叢集

   在Basic的配置頁面裡選擇IP Configuration，記錄下IP位址，在Azure的Powershell指令裡把VM的位址設定成靜态位址：

   

   Powershell指令：

   PS C:\Users\hengz> get-azurevm -ServiceName azurebrcd -Name azurebrcd01 | Set-AzureStaticVNetIP -IPAddress 10.1.1.4 | Update-AzureVM

   OperationDescription OperationId OperationStatus

   -------------------- ----------- ---------------

   Update-AzureVM 9a555da4-780c-4daa-96e9-0e81ddebf1e4 Succeeded

   固定好VM的位址後，在管理界面中選擇"進階設定" -à "叢集設定"

   

   在配置頁面上配置Pre-Share的密鑰和對端的IP位址：

   

   兩邊添加好後，叢集建立：

   

2. 建立服務

   在基本設定中，選擇服務，添加服務名稱和真是伺服器位址：

   

   添加後：

   

   可以再增加第二台伺服器，在加入-à伺服器：

   

   

3. 定制安全政策

   此時采用的安全政策是預設的安全政策，需要根據使用者的應用情況建立新的安全政策:

   點選"安全政策"à "政策管理"，在政策名稱中輸入"test"，點選加入：

   

   生成test政策後，對每一項安全政策進行設定：

   HTTP請求限制，選擇test，調整其中的值(也可以選擇預設的值)：

   

   Cookie防護，選擇Cookie的保護模式為簽名模式，定義Cookie的過期時間等：

   

   URL防護，可以選擇HTTP請求的動作，是否對SQL注入進行防範等等：

   

   參數防護，設定阻斷元字元防止指令注入攻擊，定義可以上傳檔案的類型等等：

   

   網站隐藏，可以隐藏後端伺服器的各種基礎資訊，防止黑客使用系統漏洞進行攻擊：

   

   資料竊取防護，可以通過正規表達式定義資料類型，比如身份證号碼、信用卡号碼等，是否要進行阻斷或隐藏：

   

   URL标準化，由于WAF是proxy模式進行工作的，當其承載的HTTP請求的編碼方式不能識别時，需要定義預設的字元集。配置就是在這個項目中：

   

   全局ACL，可以對URL進行比對，實作允許或阻斷和日志的動作：

   

   動作政策，保持其預設的配置即可：

   

4. 部署以及定義好的安全政策：

   選擇"基本設定"à"服務"à "加入"à"規則"

   

   把模式從"被動"改為"主動"，選擇設定好的test模闆。

   

5. 負載均衡政策設定：

   Barracuda的WAF有非常豐富的負載均衡的政策，還是在剛才的配置頁面中：

   算法可以有：輪循、權重輪循和最小請求數三種；保持政策有：不使用、源IP保持、Cookie插入、被動Cookie、HTTP Header和URLParameter六種；Failover模式有負載均衡和Failover兩種。

   一般我們選擇輪循、Cookie插入、負載均衡的配置模式。

   

總結：至此，Cluster、基本安全政策、負載均衡政策都配置完成。我們可以到基本設定的系統狀态中看到裝置系統各種狀态的統計資訊：

可以看到攻擊的類型和數量。

另外，還有站點安全中的一些進階安全政策，本文中就不詳細介紹了。