部署方案

切換實現邏輯

WAF設備間的高可用以平臺能力虛擬IP來實現，平臺虛擬IP綁定多網卡時會自動輪詢，將流量自動轉發至對應網卡，若虛擬IP所綁定的其中一張網卡down掉，則會自動轉發至存活網卡。

網絡要求

• WAF拉起時使用的子網需避免與客戶業務網絡處于同一子網，建議新起一段管理子網專用于WAF管理，作為單點跳轉使用；新建網卡所在子網需與客戶業務子網互通。
• 裝好WAF鏡像后，單臺需要新增1張網卡，作為業務反代網卡，結合初始拉起鏡像時自帶的主網卡作為M口管理，單臺設備共計需要2張網卡。
• 在虛擬云網絡中至少申請1個虛IP作為兩設備間的兩兩網卡綁定的虛擬切換地址。

前提條件

• 已完成主備WAF的部署，收集WAF防護云服務器的一些信息；服務器站點以及端口和對應的主機的地址。
• 部署前檢查控制臺環境。
  1. 確保用戶服務器站點沒過WAF設備前，是能正常訪問的。
  2. 確保WAF與客戶業務是否處于同一VPC （與客戶業務處在不同VPC得做對等連接）。
  3. WAF設備和服務器安全組是否做了限制。

注意
安全組配置：請確保防火墻VRRP所綁定網卡處于同一安全組，且將VRRP報文通報端口置于放通狀態。

網絡規劃

示例IP規劃如下：

網卡
子網
WAF1 IP
WAF2 IP
虛擬IP
eth0
192.168.0.0/24
192.168.0.6
192.168.0.7
-
eth1
192.168.2.0/24
192.168.2.9
192.168.2.10
192.168.2.8

天翼云控制臺配置

1. 登錄云等保專區控制臺。

2. 在左側導航欄，選擇“Web應用防火墻”，查看Web應用防火墻所在VPC。

   

3. 在WAF同VPC內新建子網（基于網絡規劃進行新建，已有子網分配則無需創建）。新建子網詳細操作請參見創建子網。

   說明
   單臺需要新增1張網卡，作為業務反代網卡。
   結合初始拉起鏡像時自帶的主網卡作為M口管理，單臺設備共計需要2張網卡。
   

   

4. 為防火墻設備綁定網卡。

   說明
   WAF云主機綁定網卡時所選子網先后順序需保持一致，為云主機綁定網卡詳細操作請參見綁定網卡。
   若綁定網卡時遇到問題，可聯系天翼云工作人員。
   

5. 申請虛擬IP地址并綁定至防火墻設備的網卡。

   說明
   請按照以下步驟申請并綁定虛擬IP：
   共需根據防火墻子網所在網段購買1個虛擬IP，基于步驟3所創建的子網進行申請虛擬地址。申請虛擬IP詳細操作請參見申請虛擬IP地址。
   將申請的虛擬地址綁定至新建的彈性網卡，詳細操作請參見綁定虛擬IP。
   將新建的網卡兩兩綁定至虛擬IP。
   綁定完成后，需重啟兩臺添加了網卡的WAF云主機，讓設備重新識別網卡。
   若綁定虛擬IP時遇到問題，可聯系天翼云工作人員協助處理。
   

WAF界面配置

登錄Web應用防火墻

1. 登錄云等保專區控制臺。

2. 在左側導航欄，選擇“Web應用防火墻”，單擊操作列的“配置”，即可單點登錄至Web應用防火墻。

   

配置WAF網卡接口

1. 創建eth1

   點擊Web應用防火墻Web界面“系統管理-網絡配置-工作組-添加”。

   

2. 點擊“系統管理-網絡配置-工作組-eth1編輯”。

   

3. 地址設置

   將IP地址及掩碼按照申請的網卡地址正確填寫到IP地址所在位置。并設置工作口網關。

   

4. 配置WAF VRRP。

   1. 點擊“系統管理-系統部署-VRRP配置-新建”進入VRRP配置。

      

      勾選eth1網卡。

      

   2. 新建完成后點擊右邊“操作-VRRP實例管理”。

      

      單擊“添加”。

      

      自定義填寫分組號以及優先級后（數字越高，優先級越高），在虛擬IP地址位置點擊“+”號，默認勾選啟用，然后申請的虛擬IP地址填入地址欄，點擊保存。

      

      備機同此配置，將初始狀態改為Backup狀態后確認保存配置。

      

   3. 在VRRP配置頁面，查看狀態。

      主：

      

      備：

      

      注意
      由于目前WAF策略同步還處于適配階段，故兩臺WAF的策略需手動同步，或在“安全管理 > 站點防護”中配置的安全策略保持一致，且在進行反代策略配置時，接入接口選擇eth1口，代理IP地址選擇虛擬IP。