桥模式 桥模式用Web服务器的IP地址作为VIP,因此桥模式是最简单的部署模式。此外,也无需改变服务器IP地址和DNS解析设置。在桥模式下,梭子鱼串联部署在服务器之前。此时,梭子鱼将成为一台逻辑上的交换机。 下表列出桥模式 的优缺点。 优点 缺点 无需改动网络设置 对广播风暴和生成树环路敏感 无需改变真是服务器IP地址 对错误配置的弹性较差
不具备负载均衡、SSL加速和TCP连接复用等功能
图 3.2:桥模式部署举例
单臂模式 单臂模式只使用WAN口对内外的流量进行过滤。由于只适用一个网络接口,因此吞吐量将有所下降。
Started 35
Getting
下表列出单臂模式 的优缺点。 优点 缺点 比其他模式简单,无需改变物理网络结构 需要改变DNS解析 建立多通道服务器检测 吞吐量下降
易于与企业当前的负载均衡整合 安全性不及反向代理模式,因为能够直
接访问真实服务器
图3.3: 单臂模式举例
最优方案 梭子鱼公司考虑到有些用户希望保当前的IP编址方案并且希望使用比反向代理模式相对简单的部署模式。以下观点可供用户参考: · 使用单臂模式。单臂模式是目前为止最透明和简单的部署方式,不影响任何网络流量。 · 使用桥模式。在桥模式下,无需改变真是服务器的IP地址。桥模式是一种透明模式,因此不会对服务产生影响,易装易用,并且支持所有安全机制。 · 反向代理模式是最安全的部署模式,它在公网与服务之间建立起一道安全壁垒。 36 Barracuda Web Site Firewall Administrator’s Guide
此外,每种部署模式的应用都能运行在被动和主动两种运行模式下。 · 被动模式仅记录非法流量,但并不阻断 · 主动模式执行全面的安全防护策略 因此,通常的做法是先运行被动模式,然后视情况切换至主动模式。
Getting Sta
初始化设置 以下是安装梭子鱼应用防火墙的常用步骤。
·安装前准备
·连接梭子鱼应用防火墙
·配置IP地址和其他网络设置 ·配置梭子鱼应用防火墙 ·升级系统版本 ·确认服务订购状态 ·升级攻击和安全规则库 安装前准备 在安装设备前,请完成以下准备工作: · 选择最适合您网络的部署模式。 · 进行相应的网络改动。改动的内容取决于网络的配置和安装模式的选择。网络的改动可以分为以下两种: ·硬件改动 – 网线、交换机、路由器等硬件设备的改动。 ·配置改动 – DNS设置、IP地址、路由信息等软件怕配置。 · 重新配置真是服务器IP地址,并将其网关设为梭子鱼的LAN口地址。(仅用于反向代理模式) · 定义应用使用的TCP端口号,并使梭子鱼应用防火墙对这个端口进行安全扫描。 · 确认安装所需的设备: ·梭子鱼应用防火墙 ·AC 电源线 ·以太网网线 ·设备固定 ·VGA 显示器 ·PS2 键盘 8 3Barracuda Web Site Firewall Administrator’s Guide
连接梭子鱼应用防火墙 1. 将梭子鱼固定在机架上 警告
不要拆除设备前端和后端的风扇
2. 如果使用反向代理模式,下面提到的交换机可以是同一个物理交换机。如果使用桥模式,那么必须使用两台物理隔离的2层交换机。 2a. 将WAN口与上游交换机以 5类线连接。 2b. 将LAN 口语下游交换机以5类线连接。 注意 建议使用管理口对设备进行配置。
3. 连接以下设备: ·电源线 ·VGA 显示器 ·PS2 键盘 在接上电源后,设备会立即启动,几秒后自动关闭。属于正常现象。 4. 点击设备前面板上的电源按钮 设备电源灯将常亮,显示器会显示登录界面。 配置IP地址和其他网络设置 梭子鱼应用防火墙的默认IP地址为192.168.200.200。通过登录IP设置console界面或按 RESET 按钮来改变IP地址。 按住 RESET 键8秒将IP改为192.168.1.200。按住 RESET 键12秒将IP改为10.1.1.200. 在管理console界面中改变IP地址: 1. 将显示器和键盘与梭子鱼相连。 2. 在登录界面输入用户名admin,密码admin。 进入配置界面,改变IP地址。
Started 39
Getting