跳至主内容

为存储安全配置F5 BIG-IP VE ASM 存储安全

BIG-IP VE ASM是F5 Networks提供的服务平台,可为应用和网络提供加速、高可用性及安全防护。

本文说明如何配置F5 BIG-IP VE ASM平台以实现与 GravityZone 存储安全 在VMware ESXi上的集成。

概述

F5 BIG-IP VE ASM是位于用户(客户端)与互联网(Web服务器)之间的中间层,可集成 Bitdefender 安全服务器 作为ICAP服务器来扫描来自用户的请求。

big-14.png

上图描述了集成组件:

  • 用户 是向互联网发起请求的客户端。

  • HTTP代理服务器 即ICAP客户端,在本例中特指F5 BIG-IP VE ASM。

  • ICAP服务器 即启用了ICAP扫描的 Bitdefender 安全服务器

  • 互联网 指网络服务器。

要求与前提条件

要将 GravityZone 存储安全 与F5 BIG-IP VE ASM结合使用,需满足以下条件:

  • 已部署并配置VMware ESXi服务器。

  • 已部署 GravityZone 环境并配置 Bitdefender 安全服务器 以启用ICAP扫描。关于如何安装 Bitdefender 安全服务器 至VMware ESXi的详情,请参阅 安装 安全服务器 在XenServer、ESXi或AWS的Ubuntu机器上 。有关启用ICAP扫描的详细信息,请参阅 存储保护 .

    测试时可使用单个 安全服务器 。生产环境中建议部署两台安全服务器以确保可用性和扫描负载均衡。

  • 需部署并配置BIG-IP SE设备。以下流程包含多处F5文档及互联网其他有用资源的引用,请仔细阅读以确保所有功能按预期运行。

在VMware ESXi上部署配置BIG-IP VE ASM以实现ICAP扫描

本流程说明如何在VMware ESXi上部署配置BIG-IP VE ASM,并集成 Bitdefender 安全服务器 .

  1. 下载BIG-IP VE设备的.OVA文件。版本兼容性信息请参考 F5文档中的此矩阵 .

  2. 在VMware ESXi主机上部署BIG-IP VE的.OVA文件。

  3. 将.OVA文件配置为使用单网络接口控制器(NIC),即移除内部、外部及硬件加速(HA)NIC。

    多NIC切换至单NIC的操作方法详见 F5文档 .

  4. 申请 BIG-IP VE许可证 ,需使用有效邮箱注册,许可证密钥将通过邮件发送。

    如需重新部署BIG-IP VE设备,需先解除许可证绑定。详情参见 F5文档 .

  5. 登录并设置BIG-IP VE,初始配置需注意以下事项:

    1. 默认用户名为 admin 默认密码同样为 admin .

    2. 首先配置主机名、IP地址和日期。

    3. 资源调配 中启用 应用安全管理器 .

    4. 配置VLAN。

    详情请参阅 networkjutsu.com的这篇文章 .

  6. 配置虚拟服务器和池服务器。按以下步骤操作:

    1. 在BIG-IP VE ASM中,进入 菜单 > 安全 > 引导式配置 .

    2. 选择 Web应用防护 .

      big-1.png

    3. Web应用安全策略属性 :

      1. 设置 安全策略名称 .

      2. 执行模式 设置为 阻断 。其他设置保持默认。

        big-2.png

      3. 点击 保存 > 下一步 .

    4. 虚拟服务器属性 :

      1. 虚拟服务器 下,选择 新建 .

      2. 输入应用程序的IP地址和端口。

      3. 安全 日志记录配置文件 下,选择 记录所有请求 .

      4. 服务器身份验证的SSL配置文件 下,选择 使用现有 .

        big-3.png

      5. 点击 保存 > 下一步 .

    5. 池属性 :

      1. 选择 新建 .

      2. 对于 负载均衡方法 ,选择 轮询 .

      3. 池服务器 下,输入客户服务器的IP地址,后跟端口号。

        big-4.png

      4. 点击 完成 。等待设置部署完成。

  7. 集成一个 Bitdefender 安全服务器 并启用ICAP扫描功能。请按以下步骤操作:

    1. 菜单中,进入 安全 下的 选项 > 应用安全 > 集成服务 > 反病毒保护 .

      big-5.png

    2. 集成服务 选项卡中, 服务器主机名/IP地址 输入 Bitdefender 安全服务器 的IP地址。 服务器端口号 输入 Bitdefender 安全服务器 : 1344 .

      big-6.png

    3. 点击 保存 .

    4. 要立即激活安全策略变更,请选择 应用策略 .

    5. 转到 选项 > 应用安全 > 高级配置 > 系统变量 并执行以下操作:

      1. 对于 virus_name_header ,输入 X-Infection-Found,X-Virus-ID,X-Violations-Found

      2. 通过SSH连接到BIG-IP VE设备并运行: tmshrestartsysserviceasm

        big-7.png

  8. 配置防病毒设置。请按以下步骤操作:

    1. 进入 应用安全 > 策略构建 并选择 学习与拦截设置 .

      big-8.png

    2. 转到 策略构建设置 > 防病毒 勾选以下复选框: 学习 , 告警 拦截 .

      big-9.png

    3. 点击 保存 .

    4. 要立即激活安全策略变更,请选择 应用策略 .

    5. 进入 应用安全 > 集成服务 > 病毒防护 启用 检查HTTP请求中的文件上传 .

      big-11.png

    6. 点击 保存 .

    7. 要立即激活安全策略变更,请点击 应用策略。

      要了解有关在F5 BIG-IP VE ASM中配置防病毒保护的更多信息,请参阅 本文 .

  9. 要查看应用程序日志,请在 菜单中,转到 安全 > 事件日志 > 应用程序 > 请求 .

    big-12.png

测试集成

将BIG-IP VE ASM配置为使用 GravityZone 存储安全 后,按照以下步骤测试集成:

  1. 确保 Bitdefender 安全服务器 已应用 GravityZone 策略,并启用了ICAP扫描。

  2. 访问您的应用程序并上传受感染的文件。

  3. 登录BIG-IP VE ASM平台并检查 事件日志 .

    big-13.png
本节 :