WAF设备替换方案.docx

中国民生银行股份有限公司 IMPERVA设备替换方案 X8510-X6510 中国民生银行信息科技部 网络管理中心 文档修订记录 序号 修订内容 修订时间 修订版本 修订人 1 文档建立 2021-1-22 v1.0 戴保辉 1 文档完善 2021-5-24 v1.1 戴保辉 目录 TOC \o "1-2" \h \u 5360 一、替换前准备 1 28637 1、License必须还有x8510可管理的空间 1 8730 2、系统版本需一致 1 29124 3、初始化 1 340 二、替换过程 5 490 1、断开x6510的连接 5 12679 2、连接上x8510 5 4358 3、注册网关 5 24628 三、验证 6 16277 1、在网关上验证是否有策略下发 6 14565 2、 也可攻击测试保护的站点是否有相应的报警 6 19468 四、回退 6 1281 五、附加一种简单方法： 7 PAGE PAGE 4 一、替换前准备 1、License必须还有x8510可管理的空间 2、系统版本需一致 X8510版本与原x6510版本一致，以下两种方法都可以 （1）升级 升级可参考《WAF升级实施方案》,如下： 重装系统 此操作需要提前制作USB启动盘，制作和安装过程参照文档《WAF系统制作和安装》 3、初始化 登录x8510新设备系统后，可以直接进行初始化，需要注意初始化过程中有些选项需与原设备x6510中的配置一致，详情如下： 输入“ftl”即可进行初始化 系统提示是否要修改默认管理口对应的接口，缺省为eth0。 输入n 输入管理接口的地址和掩码（因为是替换原设备，需与原设备的IP一致） 提示是否要设定IPv6地址和LAN接口（备用管理口），均回答n（需要与原设备一致） 设置缺省网关和DNS（需要与原设备一致） 大家根据提示输入，我这里没有输入。但是在实际环境中，通常需要配置。 设置各个账号的密码 注意：Imperva包含了多个管理账号，请大家区分各个账号的不同作用。 root账号，linux系统超级管理员账号 bootloader账号，liunx系统引导账号 secure账号，Imperva系统服务和内部通讯账号 system账号，Imperva后台管理服务, Oracle账号 远程账号，默认Imperva不允许使用root远程ssh登陆设备，必须设置一个远程账号进行登陆。该账号的用户名可以任意指定，第一次登陆时需要修改密码。 设置设备主机名(与原设备可以不一致，根据实际情况而定) 选择网关的工作模式（与原设备一致） Imperva网关工作模式包括： Sniffing，旁路监听工作模式，主要用于DAM产品部署和WAF测试 Bridge STP和Bridge IMPVHA，均属于透明桥接模式。区别在于桥的机制不同。通常用于WAF正式和测试部署。 Reverse Proxy，反向代理模式。只有在WAF的一些特殊场景下使用 注意：初始化完成后，也可以使用impcfg命令，重新调出配置菜单进行工作模式的修改。 选择时区以及配置NTP服务器（NTP服务器根据环境需求进行配置） 输入Enter回车，系统开始初始化 切勿因为等待时间过长而重启设备，这样会导致系统损坏，需要重新安装系统才能够恢复了！！！！ 系统在初始化完成后，会重新回到登陆提示符状态。同时，输入impcfg命令后，可成功显示系统配置菜单，并查看到正常的系统状态。 二、替换过程 1、断开x6510的连接 （1）停止网关的运行 用root登录到网关 键入impcfg，选择：管理SecureSphere Gateway>??执行操作（启动，停止等） 注销网关：立即注销网关。 查看网关的状态如下图（注意状态和IP地址不要错） （2）工作人员进入机房下电 2、连接上x8510 把配置好的x8510在机房上电，开机 注意：在多驻留一些时间，等设备的各项指示灯和显示屏显示正常后，再离开；工作人员最好带好console线和电脑进行检测和检查配置是否一切正常！ 3、注册网关 登录替换的x8510后，键入impcfg 选择：管理SecureSphere Gateway>??执行操作（启动，停止等） 启动网关：start网关（立即） 确保您可以看到MX的IP地址： 验证网关是否已注册并正在运行（如果没有，请尝试通过选择“?刷新网关状态??（立即）”?来刷新?）： ?? ???在GUI中验证网关已分配给正确的网关组。 ? ? ? ?如果未将其分配给正确的网关组，请选择网关并更改组，然后单