FortiWeb 反向代理 (RP) 模式上线指南 版本 1.1 时间支持的版本作者状态反馈 2016 年 12 月 FortiWeb -v5.0.x 以上李威峰草稿

FortiWeb 反向代理 (RP) 模式上线指南 版本 1.1 时间支持的版本作者状态反馈 2016 年 12 月 FortiWeb -v5.0.x 以上李威峰草稿 support_cn@fortinet.com

目录 反向代理 (RP) 模式介绍... 4 配置思路... 5 配置总步骤... 5 HTTP <-> HTTP 应用场景... 5 需求描述... 5 配置步骤... 6 1. 配置虚拟服务器... 6 2 配置虚拟服务器发布的端口号... 6 3. 配置物理服务器... 7 4. 配置服务器策略... 8 测试... 9 1. 业务测试... 9 2. 攻击测试... 10 HTTPS <-> HTTP 应用场景... 11 需求描述... 11 配置步骤... 12 1. 导入 HTTPS 服务器证书 ( 证书和 KEY)... 12 2. 导入中级证书... 13 3. 配置虚拟服务器... 14 4. 配置虚拟服务器发布的端口号... 14 5. 配置物理服务器... 14 6. 配置服务器策略... 16 测试... 17 1. 业务测试... 17 2. 攻击测试... 19 HTTPS <-> HTTPS 应用场景... 20 需求描述... 20 Fortinet 公司第 2 页 / 共 34 页 www.fortinet.com.cn

配置步骤... 20 1. 导入 HTTPS 服务器证书 ( 证书和 KEY)( 略 )... 20 2. 导入中级证书 ( 略 )... 21 3. 置虚拟服务器... 21 4. 配置虚拟服务器发布的端口号... 21 5. 配置物理服务器... 21 6. 配置服务器策略... 24 测试... 25 1. 业务测试... 25 2. 攻击测试... 26 统计客户端真实 IP 访问日志... 27 需求描述... 27 配置过程... 28 1. 开启 Tomcat 日志... 28 2. 重启 Tomcat 服务 ( 略 )... 28 3.FortiWeb 启用插入真实客户端 IP 到 X-Forwarded-For 字段... 29 4. 修改 Tomcat 配置文件 ( 修改引用的类和记录日志模板 Pattern). 30 5. 重启 Tomcat 服务 ( 略 )... 31 测试访问... 31 需要特别注意的事项... 32 Fortinet 公司第 3 页 / 共 34 页 www.fortinet.com.cn

反向代理 (RP) 模式介绍 反向代理模式一般旁挂在核心交换机处, 反向代理模式工作原理类似于防火墙的 VIP 映射, 需要发布虚拟的服务器与物理服务对应 上游防火墙需要更改 VIP 映射给在 FortiWeb 重新配置的虚拟服务器 反向代理模式是支持所有的 FortiWeb 特性, 同时, 该模式不受 Web 服务器部署位置的限制, 网络可达即可 需要注意的是,FortiWeb 以自身 IP 地址代理客户端发起到 Web Server 的访问 由于这个原因,Web Server 观察到客户端 IP 都为 FortiWeb 接口 IP( 如果服务器想要了解客户端 IP, 需要做以下配置 : 1.FortiWeb 把客户端 IP 以 X-Forwarded-For 方式插入到 HTTP header 2. 后台服务器 ( 例如 Apache) 通过修改 X-Forwarded-For 来记录识别客户端 IP 的日志, 详见 实现 Web Server 统计客户端真实 IP 访问记录 一节 反向代理模式拓扑 : Fortinet 公司第 4 页 / 共 34 页 www.fortinet.com.cn

配置思路 1. 规划 VIP 与物理 IP 对应关系 2. 对需要保护的 HTTPS 业务, 需要获取到服务器证书 ( 含 CA 中间证书 ) 以 及和服务器对应关系 配置总步骤 1. 调整模式 FortiWeb 工作模式 2. 配置虚拟服务器 3. 配置物理服务器池 4. 配置保护规范 5. 配置策略 HTTP <-> HTTP 应用场景 需求描述 客户端 ------HTTP---------FortiWeb------HTTP------ 物理 Web Server 业务访问逻辑可以表示为 : 客户端与 FortiWeb 之间 ( 前端 ) 客户端 IP 虚拟服务器 IP 虚拟服务器应用类型 虚拟服务器端口号 192.168.10.23 192.168.10.213 HTTP 808 FortiWeb 与 Web Server 之间 ( 后端 ) 客户端 IP 物理服务器 IP 物理服务器应用类型 物理服务器端口号 FortiWeb 接口 IP 192.168.10.13 HTTP 808 Fortinet 公司第 5 页 / 共 34 页 www.fortinet.com.cn

配置步骤 1. 配置虚拟服务器 2 配置虚拟服务器发布的端口号 如果是标准 HTTP 80 端口或 HTTPs, 可以跳过此步 Fortinet 公司第 6 页 / 共 34 页 www.fortinet.com.cn

3. 配置物理服务器 Fortinet 公司第 7 页 / 共 34 页 www.fortinet.com.cn

创建完成后状态如下 : 4. 配置服务器策略 Fortinet 公司第 8 页 / 共 34 页 www.fortinet.com.cn

确认完成 测试 1. 业务测试 访问虚拟 IP+ 虚拟服务器端口 HTTP://192.168.10.213 Fortinet 公司第 9 页 / 共 34 页 www.fortinet.com.cn

2. 攻击测试 SQL 注入攻击 http://192.168.10.213:808/' 1 and 1=1 or 1=1' 能够在攻击日志看到 SQL 攻击, 因为保护内容表此时仅仅做 alart, 所以没有进行阻断 如果此时想阻断, 在服务器策略中修改个阻断的保护内容表 Inline High Level Security 然后再测试 : http://192.168.10.213:808/' 1 and 1=1 or 1=1' Fortinet 公司第 10 页 / 共 34 页 www.fortinet.com.cn

攻击日志中 HTTPS <-> HTTP 应用场景 需求描述 客户端 ------HTTPS---------FortiWeb------HTTP------ 物理 Web Server 此场景就是通常所讲的 FortiWeb offload HTTPS 应用 Fortinet 公司第 11 页 / 共 34 页 www.fortinet.com.cn

业务访问逻辑可以表示为 : 客户端与 FortiWeb 之间 ( 前端 ) 客户端 IP 虚拟服务器 IP 虚拟服务器应用类型 虚拟服务器端口号 192.168.10.23 192.168.10.213 HTTPs 443 FortiWeb 与 Web Server 之间 ( 后端 ) 客户端 IP 物理服务器 IP 物理服务器应用类型 物理服务器端口号 FortiWeb 接口 IP 192.168.10.13 HTTP 808 配置步骤 1. 导入 HTTPS 服务器证书 ( 证书和 KEY) FortiWeb 支持证书格式,PEM+KEY 或 PFX( 证书和私钥放到一起 ) 格式 注意 : 如果证书不是由 ROOT CA 证书机构直接颁发的, 在实际环境中需要在中 级 CA 导入中级证书并与该服务器证书关联 Fortinet 公司第 12 页 / 共 34 页 www.fortinet.com.cn

2. 导入中级证书 导入两个中级证书 : 新建中级证书组 并把两个中间证书包含过来 Fortinet 公司第 13 页 / 共 34 页 www.fortinet.com.cn

3. 配置虚拟服务器 4. 配置虚拟服务器发布的端口号 如果是标准端口, 可以跳过此步 因为 HTTPS 默认是 443 端口, 为标准端 口, 所以不需要新建 5. 配置物理服务器 Fortinet 公司第 14 页 / 共 34 页 www.fortinet.com.cn

创建完成后状态如下 : Fortinet 公司第 15 页 / 共 34 页 www.fortinet.com.cn

6. 配置服务器策略 显示高级 SSL 设置下 可以根据情况关掉一些 SSL3.0 和不安全的算法 Web 保护规范可以引用一个原有的或新建一个 证书中间链 : 选择刚才的中级证书组 Fortinet 公司第 16 页 / 共 34 页 www.fortinet.com.cn

测试 1. 业务测试 访问 https://192.168.10.213 Fortinet 公司第 17 页 / 共 34 页 www.fortinet.com.cn

可以看到 TLS 版本 (TLS1.2) 安全加密提议协商结果和使用的算法 后端 FortiWeb 和 Web 服务器之间报文 : Fortinet 公司第 18 页 / 共 34 页 www.fortinet.com.cn

2. 攻击测试 使用 SQL 注入测试 https://192.168.10.213/'%201%20and%201=1%20or%201=1' 攻击日志 Fortinet 公司第 19 页 / 共 34 页 www.fortinet.com.cn

HTTPS <-> HTTPS 应用场景 需求描述 客户端 ------HTTPS---------FortiWeb------HTTPS------ 物理 Web Server 可以表示为 : 客户端与 FortiWeb 之间 ( 前端 ) 客户端 IP 虚拟服务器 IP 虚拟服务器应用类型 虚拟服务器端口号 192.168.10.23 192.168.10.213 HTTPs 443 FortiWeb 与 Web Server 之间 ( 后端 ) 客户端 IP 物理服务器 IP 物理服务器应用类型 物理服务器端口号 FortiWeb 接口 IP 192.168.10.13 HTTPs 433 配置步骤 1. 导入 HTTPS 服务器证书 ( 证书和 KEY)( 略 ) 导入过程与 HTTPS <-> HTTP 应用场景 相同 Fortinet 公司第 20 页 / 共 34 页 www.fortinet.com.cn

2. 导入中级证书 ( 略 ) 3. 置虚拟服务器 4. 配置虚拟服务器发布的端口号 如果是标准端口, 可以跳过此步 因为 HTTP S 默认是 443 端口, 为标准端口, 所以不需要新建 5. 配置物理服务器 Fortinet 公司第 21 页 / 共 34 页 www.fortinet.com.cn

另外, 对 SSL 协议, 如果后 台服务器不支持 TLS1.1S 或 TLS1.2, 协议协商 有可能出问题, 如果 HTTPS 应用无法使用, 可以调整 SSL 协议版本和 SSL/TLS 加密等级适配 ( 根据经验, 只保留 TLS 1.0 可以很到的适配绝大数多 HTTP S Fortinet 公司第 22 页 / 共 34 页 www.fortinet.com.cn

服务器 ) 创建完成后状态如下 : Fortinet 公司第 23 页 / 共 34 页 www.fortinet.com.cn

6. 配置服务器策略 显示高级 SSL 设置下 可以根据情况关掉一些 SSL3.0 和不安全的算法 Web 保护规范可以引用一个原有的或新建一个 证书中间链 : 选择刚才的中级证书组 Fortinet 公司第 24 页 / 共 34 页 www.fortinet.com.cn

测试 1. 业务测试 前端访问 https://192.168.10.213 后端抓包 Fortinet 公司第 25 页 / 共 34 页 www.fortinet.com.cn

2. 攻击测试 使用 SQL 注入测试 https://192.168.10.213/'%201%20and%201=1%20or%201=1' 攻击日志 Fortinet 公司第 26 页 / 共 34 页 www.fortinet.com.cn

统计客户端真实 IP 访问日志 FortiWeb 反向代理模式部署,FortiWeb 代理客户端访问, 因此, 服务器日 志中看到的客户端 IP 全部为 FortiWeb 到达服务器最近的接口 IP 地址, 不利于 统计真实的客户端 IP, 本文以 Tomcat 为例介绍如何解决这个问题 需求描述 客户端 (19.168.10.23)-------------(VIP:192.168.100.213)--FortiWeb (192.168.100.100)------------ 物理 Web Server(192.168.100.13) 为了使后台服务器统计真实客户端 IP 访问情况, 需要做两点配置 : 1.FortiWeb 把客户端 IP 以 X-Forwarded-For 字段方式插入到 HTTP header 2. 修改服务器配置文件中, 使用 X-Forwarded-For 字段指明的 IP 记录客户端 IP Fortinet 公司第 27 页 / 共 34 页 www.fortinet.com.cn

配置过程 下面以 Tomcat 5.5.28 版本为例介绍如何识别客户端真实 IP 1. 开启 Tomcat 日志 ( 默认情况下关闭了访问日志, 如果已经启用, 略过此步 ) 打来 server.xml 文件, 去掉注释 (!---->): <Valve classname="org.apache.catalina.valves.fastcommonaccesslogvalve" directory="logs" prefix="localhost_access_log." suffix=".txt" pattern="common" resolvehosts="false"/> 2. 重启 Tomcat 服务 ( 略 ) 默认情况下, 观察日志输出 : tomcat/logs$ more localhost_access_log.2016.11.28 客户端 IP 全部为 FortiWeb IP( 192.168.10.100), 而不是 192.168.10.23 Fortinet 公司第 28 页 / 共 34 页 www.fortinet.com.cn

3.FortiWeb 启用插入真实客户端 IP 到 X-Forwarded-For 字段 在相应的服务器策略中调用的保护规范中引用 : 应用到要保护的服务器策略 : Fortinet 公司第 29 页 / 共 34 页 www.fortinet.com.cn

4. 修改 Tomcat 配置文件 ( 修改引用的类和记录日志模板 Pattern) 默认为 server.xml <Valve classname="org.apache.catalina.valves.fastcommonaccesslogvalve" directory="logs" prefix="localhost_access_log." suffix=".txt" pattern="common %{X-ForWARDED-FOR}i %l %u %t %r %s %b resolvehosts="false"/> 修改后为 : <Valve classname="org.apache.catalina.valves.accesslogvalve" directory="logs" prefix="localhost_access_log." suffix=".txt" pattern="%{x-forwarded-for}i %l %u %t %r %s %b resolvehosts="false"/> Fortinet 公司第 30 页 / 共 34 页 www.fortinet.com.cn

5. 重启 Tomcat 服务 ( 略 ) 测试访问 重新访问 VIP 在 localhost_access_log.2016.11.28 中客户端 IP 取了 HTTP Header 中 X-Forwarded-For 的客户端真实 IP( 真实的客户端为 192.168.10.23), 在后台 Web Server 服务器上抓包观察 : Fortinet 公司第 31 页 / 共 34 页 www.fortinet.com.cn

从抓包可以看出, 真实的客户端 IP 被写到 HTTP Header 的 X-Forwarded-For 字段 需要特别注意的事项 对于 FortiWeb 不太熟悉的工程师, 可能会有怎么调整防护效果的疑问, 同时, 如果配置不当, 会影响业务 这部分内容比较多, 需要慢慢熟悉, 同时系统默认 有定义好的保护规范配置文件 见下 : 可以复制选中 Inline High Level Security 这个保护规范, Fortinet 公司第 32 页 / 共 34 页 www.fortinet.com.cn

复制, 取名为 OA-server 确认 然后在服务器策略中调用这个保护规范 同时, 不熟悉的同学一定在服务器策略下开启监视模式 ( 或者保护规范引用只做报警的 Inline Alert Only), 防止特征误报影响业务 如果处理误报和调整保护规范, 见其它文章 Fortinet 公司第 33 页 / 共 34 页 www.fortinet.com.cn

Fortinet 公司第 34 页 / 共 34 页 www.fortinet.com.cn