반응형
SMALL

소요장비 :
- Gigamon HC2 1ea
- SSL VA 2ea
- WAF 2ea
- Switch 2ea

구성
- Gigamon에 1회선 수용을 위해 상하단 Switch 구성
- SSL VA는 복호화 구간, 암호화 구간 각각 이중화(LB) 구성
- WAF 이중화(LB) 구성

### SSL VA PoC를 위해 지원한 Gigamon 설정값 ###

port 1/3/x1..x6,1/4/x1..x6,1/4/x17..x18 param admin enable
port 1/3/x1..x6,1/4/x1..x6 type inline-tool

inline-tool alias SSL-1-1
  pair tool-a 1/3/x1 and tool-b 1/3/x2
  enable
  heart-beat
  shared true
  exit
inline-tool alias SSL-1-2
  pair tool-a 1/3/x3 and tool-b 1/3/x4
  enable
  heart-beat
  shared true
  exit
inline-tool alias SSL-2-1
  pair tool-a 1/4/x1 and tool-b 1/4/x2
  enable
  heart-beat
  shared true
  exit
inline-tool alias SSL-2-2
  pair tool-a 1/4/x3 and tool-b 1/4/x4
  enable
  heart-beat
  shared true
  exit
  
  
inline-tool alias WAF-1
  pair tool-a 1/3/x5 and tool-b 1/3/x6
  enable
  heart-beat
  shared true
  exit
inline-tool alias WAF-2
  pair tool-a 1/4/x5 and tool-b 1/4/x6
  enable
  heart-beat
  shared true
  exit
  
inline-tool-group alias SSL-DEC-LB
  tool-list SSL-1-1,SSL-2-1
  enable
  exit
inline-tool-group alias SSL-ENC-LB
  tool-list SSL-1-2,SSL-2-2
  enable
  exit
inline-tool-group alias WAF-LB-1
  tool-list WAF-1,WAF-2
  enable
  exit
  
  
map alias iN5_HTTPS_VLAN501
  type flexinline byRule
  roles replace admin to owner_roles
  rule add pass portdst 443 protocol tcp bidir
  from default_inline_net_1_4_1
  a-to-b SSL-DEC-LB,WAF-LB-1,SSL-ENC-LB
  b-to-a reverse
  tag 501
  exit
map alias iN5_HTTP_VLAN502
  type flexinline byRule
  roles replace admin to owner_roles
  rule add pass portdst 80 protocol tcp bidir
  from default_inline_net_1_4_1
  a-to-b WAF-LB-1
  b-to-a reverse
  tag 502
  exit
map alias iN5_Other_VLAN520
  type flexinline collector
  roles replace admin to owner_roles
  from default_inline_net_1_4_1
  a-to-b bypass
  b-to-a bypass
  tag 520
  exit
  
  inline-network alias default_inline_net_1_4_1 physical-bypass disable
  inline-network alias default_inline_net_1_4_1 traffic-path to-inline-tool
  inline-network alias default_inline_net_1_4_1 lfp enable

반응형
LIST
반응형
SMALL

DeepFinder H/W, Proxy, Reverse Proxy 웹방화벽의 SSL 처리 방식과 달라 가속기 등의 추가 구매 없이, 성능/속도 저하없이 SSL 트래픽을 필터링합니다.
Cloud 시대에 어플라이언스 타입의 WAF가 해결하기 어려운 부분을 쉽게 구성할 수 있다.
기존 WAF의 운영에서 불편한 인증서 관리가 필요 없고 SSL암복호화 수행을 따로 하지 않기 때문에 리소스의 저하도 발생 하지 않는다.


반응형
LIST

'업무이야기 > Security' 카테고리의 다른 글

How to Deploy and Manage FortiEndpoint | Endpoint Security  (7) 2024.11.08
Juniper SRX(방화벽) 패스워드 초기화  (5) 2024.10.24
FortiGate SIP Debug  (1) 2023.05.02
SRX IPSec Tunnel Sample  (0) 2023.05.02
AhnLab Network Solutions  (0) 2022.11.21
반응형
SMALL

웹방화벽 동작 체크 방법

  1. 웹방화벽 게이트웨이로 접속 방법

[root@WIM ~]# ssh wig1 # 웹방화벽 게이트웨이로 접속

(1번 wig1 or 10.1.1.100 2번 wig2 or 10.1.2.100)

root@wig1's password: # root03 입니다.

  1. 체크 스크립트 항목별 설명

[root@WIG1 ~]# cd # 어떤 경로에 위치하더라도 스크립트의 경로로 이동

[root@WIG1 ~]# ./regular_check.sh

ENTER키 치면 한 개씩 항목이 실행되어 경과가 나타납니다.

WI Model : 2030BF # 장비 모델명을 나타냅니다.

eth0 MAC Address : 00:10:F3:0F:BC:1E

장비 eth0 맥어드레스이며 라이선스 갱신시 필요한 값

Gateway License : This is unlimited license for

게이트웨이 동작 라이선스상태

WIG version: 2.1.16_6 # 게이트웨이 펌웨어 버전

HTTP(s) Gateway : OK (Listen Port 8001 80 8080)

                    # 웹방화벽 엔진 상태 및 감시 포트 정보 

Log Agent : OK

                    # 매니저로 로그를 전송을 담당하는 Agent 

Policy Agent : OK

                    # 서버에 적용시 정책을 내려받아 적용하는 Agent 

System Monitoring : OK

                    # 웹방화벽 게이트웨이의 동작 상태를 감시하는 Agent 

Docfilter : OK

                    # 개인정보관련 Agent 

Lan Bypass : OK

                    # Bypass TAB의 동작 상태 

Interface status # 인터페이스에서 처리하는 트래픽양이며 ONE-ARMED에서는 SERVER 포트는 0

Client Device

eth6: rx/tx 4582/4582 Kbps, 737/740 pps

Server Device

eth6: rx/tx 0/0 Kbps, 0/0 pps

CLIENT PORT : eth6 # 인터페이스의 LINK상태

Settings for eth6:

Speed: 1000Mb/s

Duplex: Full

Port: FIBRE

Auto-negotiation: on

Link detected: yes

SERVER PORT: eth6 # 인터페이스 LINK 상태

Settings for eth6:

Speed: 1000Mb/s

Duplex: Full

Port: FIBRE

Auto-negotiation: on

Link detected: yes

CLIENT PORT : eth6 # 인터페이스 관련 Count 값 확인

      RX packets:423616900 errors:0 dropped:0 overruns:0 frame:0 

      TX packets:338826150 errors:0 dropped:0 overruns:0 carrier:0 

      collisions:0 txqueuelen:1000  

      Base address:0xaf00 Memory:fdca0000-fdcc0000  

SERVER PORT: eth6 # 인터페이스 관련 Count 값 확인

RX packets:423616900 errors:0 dropped:0 overruns:0 frame:0

      TX packets:338826150 errors:0 dropped:0 overruns:0 carrier:0 

      collisions:0 txqueuelen:1000  

      Base address:0xaf00 Memory:fdca0000-fdcc0000  

Httpgw Process Status #웹방화벽 엔진이 두개 떠있는지 확인

root 28135 1 0 Jan18 ? 00:00:00 /wig/bin/httpgw

root 28136 28135 5 Jan18 ? 00:47:28 /wig/bin/httpgw

Fail Open Mode : ENABLE # Bypass 모듈의 활성화 상태

WIG Uptime : 08:43:12 up 51 days, 22:36, 1 user, load average: 0.02, 0.03, 0.00

                         # 장비의 지속동작 상태 확인 

Web Server List # 웹방화벽이 처리할 서버 정보 리스트

0.0.0.0 - 255.255.255.255:8001

0.0.0.0 - 255.255.255.255:8080

0.0.0.0 - 255.255.255.255:80

registered server: count 3

Bypass IP Address Count=7 # 바이패스할 IP 리스트

   166.104.117.75 - 166.104.117.75 

   166.104.117.77 - 166.104.117.77 

   121.138.193.186 - 121.138.193.186 

   166.104.157.92 - 166.104.157.92 

   166.104.27.1 - 166.104.27.254 

   166.104.177.1 - 166.104.177.254 

   166.104.96.1 - 166.104.96.254 

[root@WIG1 ~]#

  1. 각 항목별 긴급 대응 방안

웹방화벽 게이트웨이로 접속이 안되는 경우

-. 게이트웨이가 전원ON 상태 인지 확인

( 전원이 ON되지 않는 경우 파워 또는 보드 장애로 예상됨) 

-. 매니저와 게이트웨이간 케이블이 정상적으로 연결되었는지 확인

(LINK상태 및 정확한 포트간 연결 다른 포트에 연결되었거나 케이블 불량 예상)

-. 게이트웨이LCD 창의 메시지의 내용 변화가 있는지 확인

(멈춰있는 경우 다운 상태이므로 강제 재부팅)

eth0 의 MAC이 변화한 경우

-. 게이트웨이의 eth0가 물리적인 장애인 상태에서 재부팅 되면 eth1이 eth0가 되어

변화할 수 있으며 장비 교체 필요함

-. 게이트웨이 동작 라이선스 재발급 요청

게이트웨이 펌웨어 정보 확인

HTTP(s) Gateway 가 Not OK인 경우

[root@WIG1 ~]# killall httpgw 를 약 3회 수행

[root@WIG1 ~]# /wig/bin/restart_httpgw.sh

[root@WIG1 ~]# /wig/bin/process_status.sh 로 다시 동작 상태 확인

Log Agent 가 Not OK인 경우

[root@WIG1 ~]# killall log_agent 를 약 3회 수행

[root@WIG1 ~]# /wig/bin/restart_prog.sh log_agent -p WI -d DL_NONE

[root@WIG1 ~]# /wig/bin/process_status.sh 로 다시 동작 상태 확인

Policy Agent 가 Not OK인 경우

[root@WIG1 ~]# killall policy_agent 를 약 3회 수행

[root@WIG1 ~]# /wig/bin/restart_prog.sh policy_agent DL_NONE

[root@WIG1 ~]# /wig/bin/process_status.sh 로 다시 동작 상태 확인

System Monitoring 가 Not OK인 경우

[root@WIG1 ~]# killall sys_mon 를 약 3회 수행

[root@WIG1 ~]# /wig/bin/restart_prog.sh sys_mon -p WI -d DL_NONE

[root@WIG1 ~]# /wig/bin/process_status.sh 로 다시 동작 상태 확인

Docfilter 가 Not OK인 경우

[root@WIG1 ~]# killall docfilter 를 약 3회 수행

[root@WIG1 ~]# /wig/bin/restart_prog.sh docfilter DL_NONE

[root@WIG1 ~]# /wig/bin/process_status.sh 로 다시 동작 상태 확인

Lan Bypass 가 Not OK인 경우

[root@WIG1 ~]# killall lan_bypass 를 약 3회 수행

[root@WIG1 ~]# /wig/bin/restart_prog.sh lan_bypass DL_NONE

[root@WIG1 ~]# /wig/bin/process_status.sh 로 다시 동작 상태 확인

Interface status

인터페이스에서 처리하는 트래픽양이 나타나며

ONE-ARMED에서는 SERVER 포트의 값은 O으로 나타납니다.

CLIENT포트도 0 인 경우 케이블 Link 상태 또는 L4에서 트래픽이 정상적으로 보내주고 있는지 확인 필요.

CLIENT PORT : eth6

Duplex: Full -> Half 로 나오는 경우 연결된 장비간 설정값을 확인하여 동일한 방식으로 맞춰야 합니다.

Link detected: yes -> no로 나타나는 경우 케이블이 정상적으로 연결되지 않은 상태 입니다.

                      케이블의 양단이 모두 정상적으로 연결되었는지 확인이 필요합니다. 

CLIENT PORT : eth6

인터페이스의 동작 count를 확인

RX packets:423616900 errors:0 dropped:0 overruns:0 frame:0

TX packets:338826150 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:1000

RX errors가 증가하는 경우 : Duplex가 안맞거나 연결된 장비의 인터페이스 케이블 상태등 확인 필요

TX errors가 증가하는 경우 : 웹방화벽 인터페이스 장애로 추정

Dropped는 네트워크 방화벽 기능이 동작하는 경우 증가 합니다.

Collisions 는 Duplex가 안맞는 경우 발생할 수 있습니다.

모든 카운트는 최초 케이블 연결 또는 부팅시 일부 발생하는 경우가 있습니다.

앞으로 기존 errors,dropped,collision 카운트 값을 기록하여 관리하도록 하겠습니다.

Httpgw Process Status에서 프로세스가 두개가 아닌 경우 정상적으로 처리가 되지 않습니다.

원래 두개로 구성된 이유는 한 개는 두번째 프로세스를 체크하여 없어지면 다시 실행시켜주는 역할이며 실제 웹방화벽 엔진 역할은 두번째 프로세스가 담당하게 되어 있습니다.

최근에는 두번째 프로세스가 안 떠 있는 경우는 드문 경우이며 처리방법은

[root@WIG1 ~]# killall httpgw 를 약 3회 수행

[root@WIG1 ~]# /wig/bin/restart_httpgw.sh

[root@WIG1 ~]# ps –ef | grep httpgw 로 다시 동작 상태 확인

WIG Uptime에서 부팅시킨 일이 없는데 카운트가 1달 이내인 경우

장비가 비정상적으로 리부팅 되거나 전원 케이블 연결등을 확인합니다.

웹방화벽 두대 모두 동일한 시각에 재부팅된 이력이 있는 경우는 외적인 요인으로

전원,UPS등 전원관련 사항을 확인해야 합니다.

1대만 리부팅 된 경우는 지속적인 모니터링이 필요한 상황으로 장비의 장애가 예상됩니다.

Web Server List가 나타나지 않는 경우

웹방화벽 매니저의 정책을 받지 못한 상황이며

[root@WIG1 ~]# killall httpgw 를 약 3회 수행

[root@WIG1 ~]# /wig/bin/restart_httpgw.sh

[root@WIG1 ~]# cat /proc/pdriver/opmode 로 다시 확인 합니다.

Bypass IP Address Count가 나타나지 않는 경우

[root@WIG1 ~]# killall httpgw 를 약 3회 수행

[root@WIG1 ~]# /wig/bin/restart_httpgw.sh

[root@WIG1 ~]# cat /proc/pdriver/opmode 로 다시 확인 합니다.

또는 웹UI상에서 다시 등록 적용 합니다.

위의 상황은 일반적인 상황에서의 처리 방법이며 모든 장애 유형을

상황을 모두 예측하여 기록하기에는 무리가 있습니다. 따라서 HW 오류등에 따른

예상 못한 상황도 발생할 수 있습니다.

 

 

반응형
LIST
반응형
SMALL


Piolink사의 웹방화벽인 WebFront의 소개 자료입니다.


01_WEBFRONT소개자료_max[1].ppt
다운로드

 

 

WAF_채널교육자료_ver1.ppt
다운로드

 

반응형
LIST

+ Recent posts