跳至主内容

为存储安全配置F5 BIG-IP VE ASM 存储安全

BIG-IP VE ASM是F5 Networks提供的服务平台,可为应用程序和网络提供速度、可用性和安全性。

本主题介绍如何配置F5 BIG-IP VE ASM平台以与GravityZone存储安全在VMware ESXi上配合使用。 GravityZone 存储安全 在VMware ESXi上

概述

F5 BIG-IP VE ASM是位于用户(客户端)与互联网(Web服务器)之间的中间层,可集成Bitdefender安全服务器作为ICAP服务器来扫描用户请求。 Bitdefender 安全服务器 作为ICAP服务器扫描用户请求。

big-14.png

上图描述了集成组件:

  • 用户 是向互联网发起请求的客户端。

  • HTTP代理服务器 作为ICAP客户端,在此特定场景下为F5 BIG-IP VE ASM。

  • ICAP服务器 Bitdefender 安全服务器 需启用ICAP扫描功能。

  • 互联网 指代网页服务器。

需求与先决条件

使用 GravityZone 存储安全方案 与F5 BIG-IP VE ASM集成需满足以下要求:

  • 已部署并配置VMware ESXi服务器。

  • 一套 GravityZone 环境需配备 Bitdefender 安全服务器 并配置为使用ICAP扫描。具体安装方法请参阅 Bitdefender 安全服务器 在VMware ESXi上的部署指南: 在XenServer、ESXi或AWS的Ubuntu机器上安装 安全服务器 。启用ICAP扫描的详细步骤请参见 存储保护 文档 .

    可采用单台 安全服务器 用于测试目的。在生产环境中,建议使用两台安全服务器以确保可用性和扫描负载均衡。

  • 已部署并配置一台BIG-IP SE设备。以下流程包含多处对F5文档及互联网其他有用资源的引用。请仔细阅读以确保所有功能按预期运行。

在VMware ESXi上部署并配置BIG-IP VE ASM以实现ICAP扫描

本流程描述如何在VMware ESXi上部署配置BIG-IP VE ASM,以及如何集成 Bitdefender 安全服务器 .

  1. 下载BIG-IP VE设备的.OVA文件。版本兼容性信息请参阅 F5文档中的兼容性矩阵 .

  2. 在VMware ESXi主机上部署BIG-IP VE的.OVA文件。

  3. 将.OVA文件配置为使用单一网络接口控制器(NIC),即移除内部、外部及硬件加速(HA)网卡。

    多网卡切换为单网卡的操作方法详见 F5官方文档 .

  4. 申请 BIG-IP VE许可证 ,需使用有效邮箱注册,许可证密钥将通过邮件发送。

    如需重新部署BIG-IP VE设备,请先解除许可证绑定。具体操作参见 F5文档 .

  5. 登录并设置BIG-IP VE,初始配置需注意以下事项:

    1. 默认用户名为 admin ,默认密码同样为 admin .

    2. 首先设置主机名、IP地址及日期。

    3. 启用 应用安全管理器 (ASM) 从 资源调配 .

    4. 配置VLAN。

    详情请参考 networkjutsu.com的这篇文章 .

  6. 设置虚拟服务器和池服务器。按以下步骤操作:

    1. 在BIG-IP VE ASM中,进入 菜单 > 安全 > 引导式配置 .

    2. 选择 Web应用防护 .

      big-1.png

    3. Web应用安全策略属性 :

      1. 设置 安全策略名称 .

      2. 执行模式 设为 阻断 ,其余设置保持默认。

        big-2.png

      3. 点击 保存 > 下一步 .

    4. 虚拟服务器属性 :

      1. 虚拟服务器 下,选择 新建 .

      2. 输入您应用程序的IP地址和端口。

      3. 安全 日志记录配置文件 下,选择 记录所有请求 .

      4. 用于服务器身份验证的SSL配置文件 下,选择 使用现有 .

        big-3.png

      5. 点击 保存 > 下一步 .

    5. 池属性 :

      1. 选择 创建新 .

      2. 对于 负载均衡方法 ,选择 轮询 .

      3. 池服务器 中,输入客户服务器的IP地址,后跟端口号。

        big-4.png

      4. 点击 完成 。等待设置部署完成。

  7. 集成 Bitdefender 安全服务器 (需启用ICAP扫描功能)。按以下步骤操作:

    1. 菜单中,进入 安全 ,选择 选项 > 应用程序安全 > 集成服务 > 反病毒保护 .

      big-5.png

    2. 集成服务 选项卡中,为 服务器主机名/IP地址 输入 Bitdefender 安全服务器 IP地址。对于 服务器端口号 ,请输入 Bitdefender 安全服务器 : 1344 .

      big-6.png

    3. 点击 保存 .

    4. 要立即激活安全策略变更,请选择 应用策略 .

    5. 转到 选项 > 应用安全 > 高级配置 > 系统变量 并执行以下操作:

      1. 对于 virus_name_header ,输入 X-Infection-Found,X-Virus-ID,X-Violations-Found

      2. 通过SSH连接到BIG-IP VE设备并运行: tmshrestartsysserviceasm

        big-7.png

  8. 配置防病毒设置。请按以下步骤操作:

    1. 转到 应用安全 > 策略构建 并选择 学习与拦截设置 .

      big-8.png

    2. 进入 策略构建设置 > 防病毒 并勾选 学习 , 告警 拦截 .

      big-9.png

    3. 点击 保存 .

    4. 要立即激活安全策略变更,请选择 应用策略 .

    5. 前往 应用安全 > 集成服务 > 防病毒保护 并启用 检查HTTP请求中的文件上传 .

      big-11.png

    6. 点击 保存 .

    7. 要立即激活安全策略变更,请点击 应用策略。

      要了解更多关于在F5 BIG-IP VE ASM中配置防病毒保护的信息,请参阅 本文 .

  9. 要查看应用日志,请在 菜单中,转至 安全 > 事件日志 > 应用程序 > 请求 .

    big-12.png

测试集成

将BIG-IP VE ASM配置为使用 GravityZone 存储安全 后,按照以下步骤测试集成:

  1. 确保 Bitdefender 安全服务器 已应用 GravityZone 策略,并启用了ICAP扫描功能。

  2. 访问您的应用程序并上传受感染文件。

  3. 登录BIG-IP VE ASM平台并检查 事件日志 .

    big-13.png
本节内容 :