跳至主内容

为存储安全配置F5 BIG-IP VE ASM 存储安全

BIG-IP VE ASM是F5 Networks提供的服务平台,可为应用和网络提供加速、高可用性及安全防护。

本文介绍如何配置F5 BIG-IP VE ASM平台以配合 GravityZone 存储安全 在VMware ESXi上。

概述

F5 BIG-IP VE ASM是位于用户(客户端)与互联网(Web服务器)之间的一层,可集成 Bitdefender 安全服务器 作为ICAP服务器来扫描来自用户的请求。

big-14.png

上图描述了集成组件:

  • 用户 是向互联网发起请求的客户端。

  • HTTP代理服务器 即ICAP客户端,在此特定场景中为F5 BIG-IP VE ASM。

  • ICAP服务器 Bitdefender 安全服务器 需启用ICAP扫描功能。

  • 互联网 指Web服务器。

要求和先决条件

要将 GravityZone 存储安全 与F5 BIG-IP VE ASM结合使用,需满足以下条件:

  • 已部署并配置VMware ESXi服务器。

  • 已部署 GravityZone 环境且其中 Bitdefender 安全服务器 需配置为使用ICAP扫描。有关安装 Bitdefender 安全服务器 在VMware ESXi上的安装方法,请参阅 在Ubuntu机器上安装 安全服务器 (适用于XenServer、ESXi或AWS环境) 。关于启用ICAP扫描的详细信息,请参考 存储保护 .

    测试时可使用单台 安全服务器 。生产环境中建议部署两台安全服务器以确保可用性及扫描负载均衡。

  • 需部署并配置BIG-IP SE设备。以下流程包含多处F5文档及互联网其他有用资源的引用,请仔细阅读以确保所有功能按预期运行。

在VMware ESXi上部署并配置BIG-IP VE ASM以实现ICAP扫描

本流程说明如何在VMware ESXi上部署配置BIG-IP VE ASM,并集成 Bitdefender 安全服务器 .

  1. 下载BIG-IP VE设备的.OVA文件。版本兼容性信息请查阅 F5文档中的兼容性矩阵 .

  2. 在VMware ESXi主机上部署BIG-IP VE的.OVA文件。

  3. 将.OVA文件配置为使用单一网络接口控制器(NIC),即需移除内部、外部及硬件加速(HA)网卡。

    多网卡切换为单网卡的操作方法,请参见 F5官方文档 .

  4. 申请 BIG-IP VE许可证 ,需使用有效邮箱注册,许可证密钥将通过邮件发送。

    如需重新部署BIG-IP VE设备,第一步需解除许可证绑定。具体操作请参考 F5官方文档 .

  5. 登录并设置BIG-IP VE。初始配置时需注意以下细节:

    1. 默认用户名为 admin ,默认密码同样为 admin .

    2. 首先配置主机名、IP地址和日期。

    3. 资源调配 中启用 应用安全管理器 .

    4. 配置VLAN。

    具体操作请参考 networkjutsu.com的这篇文章 .

  6. 配置虚拟服务器和池服务器,步骤如下:

    1. 在BIG-IP VE ASM中,进入 菜单 > 安全 > 引导式配置 .

    2. 选择 Web应用防护 .

      big-1.png

    3. Web应用程序安全策略属性 :

      1. 设置 安全策略名称 .

      2. 执行模式 设为 拦截 。其他设置保持默认。

        big-2.png

      3. 点击 保存 > 下一步 .

    4. 虚拟服务器属性 :

      1. 虚拟服务器 下,选择 新建 .

      2. 输入应用程序的IP地址和端口。

      3. 安全 日志记录配置文件 下,选择 记录所有请求 .

      4. 服务器身份验证的SSL配置文件 ,选择 使用现有 .

        big-3.png

      5. 点击 保存 > 下一步 .

    5. 池属性 :

      1. 选择 新建 .

      2. 对于 负载均衡方法 ,选择 轮询 .

      3. 池服务器 中,输入客户服务器的IP地址,后跟端口号。

        big-4.png

      4. 点击 完成 。等待设置部署完成。

  7. 集成一个 Bitdefender 安全服务器 并启用ICAP扫描。按照以下步骤操作:

    1. 菜单中,位于 安全 ,转到 选项 > 应用安全 > 集成服务 > 反病毒保护 .

      big-5.png

    2. 集成服务 选项卡中,对于 服务器主机名/IP地址 ,输入 Bitdefender 安全服务器 的IP地址。对于 服务器端口号 ,输入 Bitdefender 安全服务器 : 1344 .

      big-6.png

    3. 点击 保存 .

    4. 要立即激活安全策略更改,请选择 应用策略 .

    5. 转到 选项 > 应用安全 > 高级配置 > 系统变量 并执行以下操作:

      1. 对于 virus_name_header ,输入 X-Infection-Found,X-Virus-ID,X-Violations-Found

      2. 通过SSH连接到BIG-IP VE设备并运行: tmshrestartsysserviceasm

        big-7.png

  8. 配置防病毒设置。请按以下步骤操作:

    1. 前往 应用安全 > 策略构建 并选择 学习与拦截设置 .

      big-8.png

    2. 进入 策略构建设置 > 防病毒 并勾选以下选项: 学习 , 告警 拦截 .

      big-9.png

    3. 点击 保存 .

    4. 要立即激活安全策略变更,请选择 应用策略 .

    5. 转到 应用安全 > 集成服务 > 防病毒保护 并启用 检查HTTP请求中的文件上传 .

      big-11.png

    6. 点击 保存 .

    7. 要立即激活安全策略变更,请点击 应用策略。

      要了解更多关于在F5 BIG-IP VE ASM中配置防病毒保护的信息,请参考 这篇文章 .

  9. 要查看应用程序日志,请在 菜单中,前往 安全 > 事件日志 > 应用程序 > 请求 .

    big-12.png

测试集成

将BIG-IP VE ASM配置为使用 GravityZone 存储安全 后,按照以下步骤测试集成:

  1. 确保 Bitdefender 安全服务器 已应用 GravityZone 策略,并启用了ICAP扫描。

  2. 访问您的应用程序并上传一个受感染的文件。

  3. 登录BIG-IP VE ASM平台并检查 事件日志 .

    big-13.png
本节内容 :