WAF-FLE:中文版部署手册Version 0.6.3 翻译by:wemz 简介
本部署手册将指导你完成WAF-FLE的安装和初始化设置,接下来,提供一些实际的样例,不同的需求配合不同的场景使用。这些样例提供完整的安装过程,包括一些基础的设置和特殊设置,为你提供如何去配置当前操作系统的及时支持。 部署场景
WAF-FLE作为ModSecurity的管理接口被开放成多种应用方式用来满足您的实际需求,比如:实验室/小环境,大环境,以及海量事件环境,等等 在这个份手册中,我们有3个场景,但在实际应用中不仅限于这些场景:
●单机部署模式/与ModSecurity安装在同一主机
●分布式,WAF-FLE和数据库在同一主机
●分布式,WAF-FLE一台主机,分离数据库为一台主机
1.单机部署模式/与ModSecurity安装在同一主机
在小型试验环境,可以使用WAF-FLE和ModSecurity安装在同一台主机。这需要一些额外的的重要注意事项来保持ModSecurity向WAF-FLE传送事件信息不被阻断。这是为了避免放大特别重要的事件(如ModSecurity向WAF-FLE传送事件信息,并阻断事件发送等等事件。)下图展示部署模型:
2.分布式,WAF-FLE和数据库在同一主机
多个场景(多个ModSecurity)在同一个环境内,有大量的事件,你需要高效的分布式的部署,同时需要一个集中式的管理中心。这样的场景就采用专用的主机(盒子)运行WAF-FLE 作为控制中心,允许你看到所有的事件。这样建议使用独立主机运行WAF-FLE以保证CPU,I/O的使用。你也可以使用外部站点来实施或计划任务方式传送事件日志。(日志的传送清查看日志传送配置)
3.分布式,WAF-FLE一台主机,分离数据库为一台主机
云南盘鮈为满足高事件量需求那么你可以能要在第2个场景的基础上做进一步的分离,将数据库分离出WAF-FLE的主机,采用典型的LAN网络就可满足,为使日志的可视可存则需要大存储来保障。如果你需要甚至可以使用2个WAF-FLE服务来接受和控制。
不通部署类型比较
TIP:如果你不知道如何选择,我们推荐使用第2种部署方式。
Note:无论你选择哪种部署方式,基于安全考虑你还可以:
●使用SSL加密来传输事件到WAF-FLE,也可以选择使用这种方式来查看事件。(可选)●所有的事件和管理必须进行认证来控制。(默认项)
●事件提供者限定单个IP地址或一个网段.(可选)
部署要求
要使WAF-FLE工作你还要做一些组件,通常为通用组件*nix。当然有时你也需要一些第三方组件或源码。这部份就会知道你如何一步一步完成配置。
基本要求
●◦ Apache 2.x server
▪Apache mod-rewrite
重大危险源辨识2009
●◦ PHP 5.3 更高版本
▪PHP PDO Mysql 扩展
▪PHP GeoIP 扩展
●◦ MySQL 5.1 或更高版本
可选项要求
APC (alternative php cache),可以启用该组件来提高WAF-FLE的性能。
常规安装
WAF-FLE的安装随着时间推移越来越简单,你只需要创建自己的数据库并确保必要元素已经创建就可以了。从0.6.0-rc开始安装脚本会指导你做相关要求配置,数据库创建,已经数据库权限配置。
在你开始安装WAF-FLE之前,你需要安装必要的组件,你可以查看手册(HOW-TO)来一步一步进行安装。
安装要求
1. 安装Apache
1.1. Enable mod-rewrite
2. 安装MySQL (如果数据库和WAF-FLE同一台主机)
3. 安装PHP
雪地里的红棉袄3.1. 安装php-pdo
3.2. 安装php-mysql
3.3. 安装php-apc
药绘图3.4. 安装php-geoip
NOTE: PHP-GeoIP模块需要一些'hack'(破解)才能用在WAF-FLE,第一次该模块服务无法检测自动化系统数量(ASN).按照下面步骤可以帮助你完成(包括下载GeoIP Database数据库)
赫伯特西蒙
WAF-FLE 安装
1.下载最新版本WAF-FLE的TAR包。下载地址:/download/
2。解压TAR包到目录,如"/usr/local",不要放在Apache网站目录。你可以用其他的任意目录,但是需要注意的是该目录要给Apache修改权限;
雅虎天盾4.复制“f”(WAF-FLE的Apache配置)到Apache配置目录(一般目录为
4.1 如果你WAF-FLE安装在不同的目录,你需要编辑f (the Apache config),查alias and Directory directives,修改它映射到WAF-FLE的位置,如下;
默认配置需要手工赋予权限。在Apache2.0或2.2版本,你可以使用“Allow from all”,在Apache2.4或更新的版本中泽需要使用“Require all granted”来赋予权限。下面是一个标准的f文件样例:
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议