梭子鱼WEB应用防火墙快速部署指南

                    梭子鱼web应用防火墙是7层防火墙设备，能为用户的web应用提供全面的安全防护。它还具备流量管理能力，如提供负载均衡确保快速可靠的内容传输。它具备多种部署模式， 本文介绍梭子鱼web应用防火墙的桥接模式的部署，该模式是出厂默认安装模式。其余的安装模式如路由模式(ReverseProxy)和代理模式(One-armed)参见梭子鱼web应用防火墙管理手册。

1. 梭子鱼web应用防火墙
2. 上架导轨（660及以上型号）
3. AC电源线
4. 网线（可能需要交叉线）
5. VGA显示器和PS2键盘

     硬件安装的步骤如下：

1. 将梭子鱼安装在19寸机架上或平稳放置。
2. 用网线将梭子鱼前面板的WAN口连接到面向Internet的交换机或相关设备上，LAN接连到面向服务器的交换机上。
3. 连接显示器、键盘和AC电源。注意：刚接通电源线的时候，设备电源会接通几秒钟然后断掉，期间您能听到风扇响动。
4. 按前面板的电源按钮。
5. 梭子鱼WEB应用防火墙支持硬件旁通模式。如果设备设置为硬件旁通模式，那么只能通过设备后面板的管理网口才能访问设备的管理界面。因此必要时您可能需要将管理网口也连接到网络中。

一、配置IP地址和网络设置
如果连接了显示器，您能看到设备启动过程，启动完成后显示管理控制台的登陆界面：

1. 登陆到管理控制台，用户名和密码都是admin，如下：

Login: admin
 Password: admin      

2. 根据网络情况，为梭子鱼web应用防火墙配置IP地址、掩码、网关、首选DNS及备用DNS。
3. 保存更改.
4. 如果您没有连接显示器和键盘，你也可以通过前面板的RESET按钮设置系统的IP地址，按住reset按钮不同的时间可以设置为不同的IP。注意：系统IP地址是设置在WAN口上的，通过交叉线可以直接连接访问。

3. 产品激活

     在基本设置系统状态页，确认设备是否激活。请确认您升级许可证状态为当前有效，如果您升级许可证状态显示为未激活，请您点击相关链接连接到梭子鱼产品激活页激活，以便设备能够升级。

4. 梭子鱼WEB应用防火墙的配置

在梭子鱼WEB应用防火墙同网段的电脑上，打开浏览器进行如下配置：

1. 在浏览器地址栏中输入http://<应用防火墙IP>:<端口号>，端口号默认为8000。如果应用防火墙的IP设置为192.168.200.200，则浏览器中应输入：http://1 92.168.200.200:8000

2. 在应用防火墙的登陆界面中输入用户名：admin，密码：admin。
3. 进入基本设置 >IP配置页，设置LAN口IP配置：包括IP地址和掩码，以便和真实服务器连接。*桥接模式下无需设置LAN口IP地址。
4. 在运行模式内选择桥模式
5. 进入基本设置 >系统管理 页，设置如何发送系统警告或通知信：指定邮件服务器IP，指定系统警告信的邮件地址，指定系统通知信的地址。
6. 点击页面中的任一保存修改按钮保存上述设置。
7. 升级版本
   1. 进入高级设置 >系统升级页。
   2. 点击立即下载按钮下载新的版本。在升级的时候请不要关闭电源，以免损坏梭子鱼WEB应用防火墙。你可以刷新网页来查看下载进度，下载完成后您会收到提醒信息。
   3. 在高级设置>系统 升级，点击立即应用按钮，系统将升级到新的版本，升级过程需要重新启动设备，大约需要几分钟时间。
   4. 系统重新启动完毕后，重新登陆WEB管理界面，阅读版本通知了解有那些新增功能或修订功能。当然您最好练习验证一下这些新功能。
8. 配置服务

     现在您已经做好的梭子鱼web应用防火墙的测试准备了。桥接模式下，请您将需要保护的服务器群所连接的交换机接通到应用防火墙的LAN中。确认服务器的IP和梭子鱼WAN口的IP及掩码在同一网段中，以便梭子鱼web应用防火墙能访问服务器。
进入基本设置 >服务页，填写下列信息创建服务：

1. 服务名称：输入您想创建的服务的名称，以便将来识别。
2. IP地址：输入WEB站点外部IP地址。
3. 端口号：输入WEB站点对外响应的端口号（通常http为80端口，https为443端口）。
4. 类型：打开下拉列表选择服务的类型，http或https.注：如果为https的类型则可能需要证书。
5. 真实服务器：添加真实服务器的IP。
6. 点击添加。

9. 修改管理员密码

      为了防止未授权的登陆,建议你将默认的管理员密码设置为更安全的密码.这样只能修改web界面的管理员密码,而不能修改终端登陆的admin密码.终端只能用键盘登陆,你可以在任何时候断开.

1. 在基本设置->系统管理修改密码，输入原来的密码和新密码。
2. 点击保存密码.

 二、测试连通性
    WEB应用防火墙现在可以运行了；进入WEB站点的访问流量都将被WEB应用防火墙截获，检查是否有攻击，然后再转发到WEB服务器上。
用一台PC通过梭子鱼web应用防火墙访问保护的WEB服务。如果均能访问并且在梭子鱼WEB应用防火墙内有访问日志，表明设备安装正确。
三、   常见问题及解答
1.      使用梭子鱼应用防火墙最大的受益在什么地方？
      使用梭子鱼应用防火墙的最大受益包括下面这些方面：
      全面的网站保护:  梭子鱼应用防火墙监控了所有的网站访问流量，全面保护您的网站。其中保护手段有：HTTP协议保护，阻断通常的、可见的高危型攻击，保护基于会话的应用程序状态的攻击，在线填表验证，返回数据流防窃保护，网站保护外壳，反蠕虫程序，速率控制和拒绝服务（Dos）保护等高级控制手段。
      保护网站XML服务: 梭子鱼应用防火墙能完全保护传统的HTML网页的网站和新型的XML网页应用。通过打开梭子鱼应用防火墙的高级选项，可以使用安全的隔离层方式越过访问网站服务器展开SOAP封套，管理员需要对原本应用程序的XML服务的详细信息作深入分析。
访问请求控制: 梭子鱼应用防火墙做为访问链中的一个单结点，可以强制实现访问请求控制。包括验证已知的用户，控制策略的设置，会话监控，数据泄漏保护，和集成的系统验证，存取控制系统(AAA)等。
      应用交付加速: 除了安全防护和访问控制这些强大的功能以外，梭子鱼应用防火墙中的网关系列还有应用程序加速的功能，有高速缓存应用数据的能力，压缩和应用交付的功能，还能对SSL加密应用进行加速和高可用的负载均衡功能。
日志，监控和报告: 梭子鱼应用防火墙还有一个重要的功能就是即时反馈管理者关于实时安全信息的报告和安全的临界状态。
2.      部署梭子鱼WEB应用防火墙后网站是否会变慢？
      梭子鱼WEB应用防火墙提供强大的安全功能，同时具备强大的应用加速功能：TCP连接池、内容缓存、WEB压缩、负载均衡、SSL卸载，保证用户业务快速响应交付。
 3、为何安装上梭子鱼之后无法访问WEB站点？
      根据安装模式，桥模式下需要WAN口和LAN口在不同的二层交换网络内，否则会形成环路，无法访问或者梭子鱼内没有访问记录和日志。此时需要检查网络。如果网站个别网页URL无法访问，可以到梭子鱼WEB应用防火墙内查看过滤日志，是否被拦截并做修复处理。
4.      梭子鱼应用防火墙能帮助我公司的商业数据达到PCI DSS 标准规范么？
      是的，梭子鱼应用防火墙能使您的信用卡，社会身份卡等数据达到PCI DSS规范要求标准。
      应对信用卡数据日益增加和复杂的压力，人们制定了PCI DSS规范。PCI DSS第 6.6条提出，到2008年6月30号之前，所有电子商务组织都必须安装可以自定义策略的WEB应用防火墙来保护他们的网站应用程序，没有按照这么做的商务组织将被罚款，限制或永久禁止信用卡交易。关于梭子鱼应用防火墙可以让您的企业或单位适应遵循PCI DSS规范的更详细说明，可以查看更多的附加文档。
的SYSlog日志服务软件永久记录和保存日志。
 
    本文由:实施方案于(2012-04-13)发表了关于梭子鱼WEB应用防火墙快速部署指南的文章 。如转载请注明出处：http://www.cdcy-mail.com

如果您对此感兴趣,可以通过以下联系方式与我们联系：

全国统一销售热线：400-068-5818