30 Barracuda Web Site Firewall Administrator’s Guide
本章内容对梭子鱼应用防火墙的安装和初始设置进行介绍。包括以下内容:· 部署模式 · 初始设置 第三章 安装 安装31
梭子鱼应用防火墙部署模式 在安装设备前,必须了解设备上的各个物理接口的作用。 · · · WAN口: WAN 口与外网相连。 LAN 口: LAN 口与Web服务器相连。 MGMT (管理)口: 管理口连在带外网络,用于安全管理。梭子鱼应用防火墙管理口默认禁PING。 · · · 默认通过WAN口进行配置 推荐通过管理口进行配置 虚拟 IP (VIP): 虚拟IP是为每个服务设置的IP地址。根据不同的部署模式,虚拟IP可以与真实服务器相同或不同。在桥模式下,虚拟IP与真是服务器相同,而在反向代理和单臂模式下,它们是不同的。 三种部署模式: 反向代理模式 (推荐)…………………………………………………………..36 桥模式……...............................................................................................37 单臂模式………………………………………………………………………...37 部署模式应根据当前网络环境及配置进行选择。初始部署时建议使用桥模式部署,因为在桥模式下无需改变当前的网络配置。因此,梭子鱼应用防火墙默认运行在桥模式下,您可以根据自己的需要切换至其他部署模式。进入基本设置 > IP 设置页面, 在运行模式 中选择相应的模式,然后点击 保存修改
注意
当使用单臂模式或反向代理模式时,都在运行模式 中选择代理
表 3.1 列出不同部署模式所需要考虑的事项 表 3.1:部署注意事项 事项 反向代理 桥模式 单臂模式 网络带宽利用最大化
建立与Web服务器之间的安全通道 当前网络改动最小化 与当前企业负载均衡相结合
X X
X X
X
32 Barracuda Web Site Firewall Administrator’s Guide
表 3.1:部署注意事项 事项 反向代理 桥模式 单臂模式 建立多通道服务器健康检查 X* 不改变服务器的IP地址
X X**
注意: * - 客户端能够通过梭子鱼应用防火墙的VIP进行网站登录(安全)或直接登录服务器的IP地址(不安全)。 ** - 服务器保持IP地址不变,但是DNS必须将URL解析到梭子鱼的VIP上。同样,直接登录服务器的IP地址是不安全的。
Getting Sta
反向代理(推荐) 在反向代理模式中,梭子鱼以串联方式安装,同时使用WAN口和LAN 口。反向代理模式是推荐的安装方式,因为这中安装方式提供最高的安全性,但是需要改变当前的网络设置。 并且,WAN口IP和LAN 口IP必须处于不同的网段。 · Web服务器与交换机相连,交换器与LAN口相连。 · WAN 口与上游设备相连,如路由器或防火墙。 每台服务器在梭子鱼上都有对应的虚拟IP。此IP地址必须能够被外网访问得到。当梭子鱼应用防火墙的WAN口收到请求,此请求将被进行全面检查并通过LAN口发送到Web服务器。 下表列出了反向代理 模式的优缺点。 优点 缺点 功能全面,包括负载均衡和SSL加速 需要改动服务器IP地址以及DNS解析 服务器被完全隔离,安全性最高 恢复时需要恢复所有的改动 快速高可用性 部署时需要中断业务
图3.1: 反向代理部署举例
34 Barracuda Web Site Firewall Administrator’s Guide