部署方案

切换实现逻辑

WAF设备间的高可用以平台能力虚拟IP来实现，平台虚拟IP绑定多网卡时会自动轮询，将流量自动转发至对应网卡，若虚拟IP所绑定的其中一张网卡down掉，则会自动转发至存活网卡。

网络要求

• WAF拉起时使用的子网需避免与客户业务网络处于同一子网，建议新起一段管理子网专用于WAF管理，作为单点跳转使用；新建网卡所在子网需与客户业务子网互通。
• 装好WAF镜像后，单台需要新增1张网卡，作为业务反代网卡，结合初始拉起镜像时自带的主网卡作为M口管理，单台设备共计需要2张网卡。
• 在虚拟云网络中至少申请1个虚IP作为两设备间的两两网卡绑定的虚拟切换地址。

前提条件

• 已完成主备WAF的部署，收集WAF防护云服务器的一些信息；服务器站点以及端口和对应的主机的地址。
• 部署前检查控制台环境。
  1. 确保用户服务器站点没过WAF设备前，是能正常访问的。
  2. 确保WAF与客户业务是否处于同一VPC （与客户业务处在不同VPC得做对等连接）。
  3. WAF设备和服务器安全组是否做了限制。

注意
安全组配置：请确保防火墙VRRP所绑定网卡处于同一安全组，且将VRRP报文通报端口置于放通状态。

网络规划

示例IP规划如下：

网卡
子网
WAF1 IP
WAF2 IP
虚拟IP
eth0
192.168.0.0/24
192.168.0.6
192.168.0.7
-
eth1
192.168.2.0/24
192.168.2.9
192.168.2.10
192.168.2.8

天翼云控制台配置

1. 登录云等保专区控制台。

2. 在左侧导航栏，选择“Web应用防火墙”，查看Web应用防火墙所在VPC。

   

3. 在WAF同VPC内新建子网（基于网络规划进行新建，已有子网分配则无需创建）。新建子网详细操作请参见创建子网。

   说明
   单台需要新增1张网卡，作为业务反代网卡。
   结合初始拉起镜像时自带的主网卡作为M口管理，单台设备共计需要2张网卡。
   

   

4. 为防火墙设备绑定网卡。

   说明
   WAF云主机绑定网卡时所选子网先后顺序需保持一致，为云主机绑定网卡详细操作请参见绑定网卡。
   若绑定网卡时遇到问题，可联系天翼云工作人员。
   

5. 申请虚拟IP地址并绑定至防火墙设备的网卡。

   说明
   请按照以下步骤申请并绑定虚拟IP：
   共需根据防火墙子网所在网段购买1个虚拟IP，基于步骤3所创建的子网进行申请虚拟地址。申请虚拟IP详细操作请参见申请虚拟IP地址。
   将申请的虚拟地址绑定至新建的弹性网卡，详细操作请参见绑定虚拟IP。
   将新建的网卡两两绑定至虚拟IP。
   绑定完成后，需重启两台添加了网卡的WAF云主机，让设备重新识别网卡。
   若绑定虚拟IP时遇到问题，可联系天翼云工作人员协助处理。
   

WAF界面配置

登录Web应用防火墙

1. 登录云等保专区控制台。

2. 在左侧导航栏，选择“Web应用防火墙”，单击操作列的“配置”，即可单点登录至Web应用防火墙。

   

配置WAF网卡接口

1. 创建eth1

   点击Web应用防火墙Web界面“系统管理-网络配置-工作组-添加”。

   

2. 点击“系统管理-网络配置-工作组-eth1编辑”。

   

3. 地址设置

   将IP地址及掩码按照申请的网卡地址正确填写到IP地址所在位置。并设置工作口网关。

   

4. 配置WAF VRRP。

   1. 点击“系统管理-系统部署-VRRP配置-新建”进入VRRP配置。

      

      勾选eth1网卡。

      

   2. 新建完成后点击右边“操作-VRRP实例管理”。

      

      单击“添加”。

      

      自定义填写分组号以及优先级后（数字越高，优先级越高），在虚拟IP地址位置点击“+”号，默认勾选启用，然后申请的虚拟IP地址填入地址栏，点击保存。

      

      备机同此配置，将初始状态改为Backup状态后确认保存配置。

      

   3. 在VRRP配置页面，查看状态。

      主：

      

      备：

      

      注意
      由于目前WAF策略同步还处于适配阶段，故两台WAF的策略需手动同步，或在“安全管理 > 站点防护”中配置的安全策略保持一致，且在进行反代策略配置时，接入接口选择eth1口，代理IP地址选择虚拟IP。