F5 AWAF学习
今天就来记录一下对F5 AWAF的学习吧
部署模式
全代理模式
所谓的全代理模式就是指AWAF与LTM结合,在AWAF上设置对应的security policy,应用到LTM上发布的需要保护的VS上;
PS:图画的有点丑,大致是这个意思
这是全代理模式下个人理解的可部署的两种模式,就是可以将AWAF与LTM隔离或者是部署在一台F5设备上,因为F5是模块化的,通过部署对应的license就可以做到功能的添加或删除,这点还是非常的灵活的;
旁路监听模式(none-blocking)
该部署模式下,F5 AWAF只是对流量进行监听和告警,并不会对流量进行block,F5是可以监听客户端的请求和服务端的回应两个方向的流量的;
在F5上,首先要创建一个全0的VS,并设置为FastL4,用来接受流量的端口也要设置为Passive的模式;同时security policy要设置为Transparent模式;特别的,需要去修改DB的值,保证l4配置到了AWAF上
tmsh modify sys db dosl7.fastl4_allow value enable
tmsh modify sys db AWAF.fastl4_allow value enable
由于是处于监听的模式,所以在这里F5 AWAF不能够实现JS挑战以及对流量的block
透明模式
透明部署模式也是将AWAF串联进客户的网络,只不过在这里AWAF相当于是一个网桥,桥接在客户端与服务端之间;
透明模式下,要使用F5的两个物理接口,对应两个vlan,分别是internal与external,然后两个vlan创建一个vlan group;
在VS上创建要保护的http的流量,使用strandard_L7的模式,TCP+http profiles,在这里要使用iRules,设置流量的下一跳为external
when CLIENT_ACCEPTED {
nexthop vlan_external xx:xx:xx:xx:xx:xx ###这里是指external_vlan的MAC地址
}
将这条iRules关联到要保护的HTTP流量的vs上;
之后创建一个全0的vs,设置为FastL4模式,关联上一条iRules,将其余的流量向后进行转发;
AWAF的配置按照正常的security policy来配置就好;
###透明SSL模式
这种部署模式就是在透明模式下加入了SSL的功能,在需要保护的HTTPS的流量中添加Client SSL Profiles或者是Client+Server SSL Profiles
总结
以上就是AWAF的几个部署模式,基本上来说可以满足所有的业务需求,学习也好,阻断也好,告警也好;
其中最需要分清楚的就是透明模式与全代理模式之间的区别;
以上就是今天的随笔,希望各位大佬们看到后,指出这里面的不足或者是不对的地方,欢迎大家前来指教。