설치 매뉴얼
로그프레소 수집 설정
eWalker WAF 수집 모델을 선택하고 원격 IP 주소를 입력하여 해당 출발지 주소에서 전송되는 로그가 WAF_EWALKER 테이블에 저장되도록 수집기를 설정한 후 활성화합니다.
eWalker WAF 차단 연동
로그프레소가 eWalker WAF의 API를 호출하여 제어하도록 구성하려면 먼저 로그프레소에서 eWalker WAF 접속 프로파일을 설정해야 합니다. 아래와 같이 로그프레소에서 접속 프로파일 메뉴로 이동하여 eWalker WAF 접속 프로파일을 추가합니다.
- 엔드포인트: https://IP:8443 형식
- 계정: eWalker WAF 관리자 계정
- 암호: eWalker WAF 관리자 계정의 암호
- HTTP 프록시: HTTP 프록시 서버를 경유해야 하는 경우,
IP:포트형식으로 입력
이제 확장 쿼리 명령어가 정상적으로 동작하는지 검증해야 합니다. 먼저 eWalker WAF 웹 콘솔에 접속하여 ACL 정책 메뉴의 목록을 확인합니다. 로그프레소는 eWalker WAF의 ACL 정책에 차단 IP 주소를 동기화하므로, 실제 IP 차단이 유효하게 동작하려면 대상서버 관리에서 해당 ACL 정책을 참조하도록 설정해야 합니다.
로그프레소에서 ewalker-waf-acl-policies 쿼리를 실행하여 정상적으로 API가 호출되는지, 설정이 일치하는지 확인할 수 있습니다.
이제 로그프레소의 주소 그룹과 eWalker WAF의 ACL 정책을 동기화하는 차단 연동 설정을 수행합니다.
- 차단 예외 IP: 로그프레소 서버 주소, eWalker WAF 장비 주소, 중요 서버 IP 주소 설정을 권고합니다. 이 설정은 잘못된 IP 주소 차단으로 인한 서비스 장애를 예방합니다.
- 차단 기간: eWalker WAF ACL 정책의 차단 IP 만료 기간을 지정합니다. 일반적으로 데이터 원본에 해당되는 주소 그룹의 만료 기간보다 충분히 길게 설정합니다.
- ACL 정책 ID: 동기화 대상 ACL 정책의 ID를 설정합니다. 이전 단계에서 쿼리를 통해 확인한 acl_id 값을 입력합니다.
이제 로그프레소 주소 그룹에 테스트용 IP 주소를 추가하고 eWalker WAF의 ACL 정책에 등록되는지 확인 후 설정을 완료합니다.