91超碰碰碰碰久久久久久综合_超碰av人澡人澡人澡人澡人掠_国产黄大片在线观看画质优化_txt小说免费全本

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

硬件WAF的制作!linux系統制作硬件WAF,實現透明代理,具備斷電、故障Bypass功能。

發布時間:2020-07-26 10:03:24 來源:網絡 閱讀:793 作者:w2sft 欄目:安全技術

硬件bypass的制作過程!

現實需求:WAF類的產品,很多情況下是需要Bypass的,

什么是bypass?為什么要bypass呢?

在現實的應用場景中,很多時候業務系統(網站)是不能中斷的,比如銀行、電商的網站,如果系統中斷、不能訪問,后果是十分嚴重的。

而安全防護系統又不得不使用,這時就要求WAF一定要具備Bypass功能,bypass的意思是指:如果waf本身、或waf所在的服務器、或WAF硬件,由于軟件或硬件的原因,死機、斷電等各種情況下,都不能影響業務系統正常運轉。

而實際的部署方式,經常是反向代理模式(透明代理本質上也差不多),也就是WAF處于業務系統之前,來訪數據需先流經WAF,然后再才到達業務系統。在這樣一個串聯的形態下,如果WAF故障,要保證數據能到達業務系統。業務系統的反饋數據也能正常傳達給訪問者。

通常實現的方式有兩種,一種是采用多機熱備,一種是硬件自身bypass。本文講的,就是如何配置系統,讓WAF所在的服務器,具備bypass功能。也可以說,這是硬件WAF的制作過程


系統:Linux CentOS
硬件要求:Bypass網卡

WAF軟件:ShareWAF(http://www.sharewaf.com/)


1、準備工作:
ETH1網口連通外網,并給其設置IP;
ETH2,ETH3為一雙Bypass網口,為做網橋使用;
ETH3口連接內網web服務器。

2、系統配置,實現透明代理:
關閉centos 7自帶防火墻
systemctl stop firewalld.service
systemctl disable firewalld.service
安裝iptables
yum -y install iptables
yum -y install iptables-services
開啟iptables
service iptables start
清除Iptables自帶規則
iptables -F
安裝ifconfig
yum -y install net-tools.x86_64
安裝網橋
yum -y install bridge-utils
設置網橋
/sbin/modprobe bridge
/usr/sbin/brctl addbr br0(設置網橋名為br0)
/sbin/ifup enp4s0 (要加入網橋的網卡,通過ifconfig查看)
/sbin/ifup enp5s0 (要加入網橋的網卡)
注:執行以上兩步之前最好將能通的網線插在網口上,否則執行時間會稍長,會顯示激活失敗。
如果以上步驟報錯:
無法創建 NMClient 對象GDBus.Error:org.freedesktop.DBus.Error.UnknownMethod: Method "GetManagedObjects" with signature "" on interface "org.freedesktop.DBus.ObjectManager" doesn't exist
這時,執行如下命令:
chkconfig NetworkManager off
chkconfig network on
service NetworkManager stop
service network start
/usr/sbin/brctl addif br0 enp4s0
/usr/sbin/brctl addif br0 enp5s0
設置網橋IP (例:192.168.1.73 設置一個在內網網段的IP)
ifconfig br0 192.168.1.73 netmask 255.255.255.0
開啟網橋
/sbin/ip link set br0 up
查看
sudo brctl show
關閉
ifconfig br0 down
刪除 (刪除前先將網橋關閉)
sudo brctl delbr br0
在/etc/sysctl.conf下添加內容
vi /etc/sysctl.conf
將光標移至文字最后一行按o,右鍵選擇粘貼
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
net.bridge.bridge-nf-call-arptables = 1
net.ipv4.ip_forward = 1
net.ipv4.ip_nonlocal_bind = 1
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.all.rp_filter = 0
net.ipv4.conf.br0.rp_filter = 0
1.按esc  2.輸入 :  3.然后輸入 wq 回車
執行使生效
sysctl -p
如果報錯:
sysctl: cannot stat /proc/sys/net/bridge/bridge-nf-call-ip6tables: 沒有那個文件或目錄
sysctl: cannot stat /proc/sys/net/bridge/bridge-nf-call-iptables: 沒有那個文件或目錄
sysctl: cannot stat /proc/sys/net/bridge/bridge-nf-call-arptables: 沒有那個文件或目錄
執行 modprobe br_netfilter
再次執行sysctl -p
添加路由
/sbin/ip -f inet rule add fwmark 1 lookup 100
/sbin/ip -f inet route add local default dev lo table 100
添加規則前,首先查內是否有其他規則
iptables -t 表名 -L
如果有其他規則,將其刪除
iptables -t 表名 -D 鏈名 第幾條規則
添加規則
iptables -t nat -A PREROUTING -d 192.168.1.20 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.73:8080
說明:
192.168.1.20 web服務器IP
80 web服務端口
192.168.1.73 網橋IP
8080 ShareWAF端口
保存規則
service iptables save
以上,系統透明模式需要的設置已完成。為實現斷電或異常時Bypass功能,還需向Bypass網卡或硬件廠家咨詢、索取其Bypass網卡相關程序、資料,如:“喂狗程序”、腳本等。

3、安裝NodeJS:
yum -y install wget
mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo_bak 
wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo
yum clean all
yum makecache 
wget https://nodejs.org/dist/v8.11.1/node-v8.11.1-linux-x64.tar.xz --no-check-certificate
tar -xvf node-v8.11.1-linux-x64.tar.xz
mv node-v8.11.1-linux-x64 node-v8.11.1
ln -s /root/node-v8.11.1/bin/node /usr/local/bin/node
ln -s /root/node-v8.11.1/bin/npm /usr/local/bin/npm

4、安裝ShareWAF
獲取ShareWAF程序包后,在其目錄下執行:
npm init
如在安裝過程中Express報錯,運行:npm config set strict-ssl false
如在安裝過程中Sqlite3報錯,運行:npm install sqlite3 --unsafe-perm


完成!此時,這臺具有bypass網卡的服務器,即成為了一臺硬件WAF!


向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

额敏县| 泽库县| 衡阳县| 晴隆县| 马鞍山市| 凤城市| 滦南县| 开远市| 义马市| 大宁县| 文山县| 友谊县| 恩平市| 新巴尔虎左旗| 马龙县| 泗阳县| 新化县| 女性| 开封县| 冷水江市| 红河县| 佛学| 阳原县| 瑞安市| 宁化县| 宜黄县| 徐州市| 漳平市| 淮南市| 福海县| 孟津县| 岱山县| 永宁县| 慈利县| 永和县| 石首市| 伊金霍洛旗| 金秀| 新野县| 甘肃省| 九龙坡区|