反向代理+ WAF

Question

作为网络设计的一部分，我正在实现HTTP反向代理和WAF。

HTTP代理，我正在考虑在外部防火墙上终止SSL，这样WAF就可以限制第7层的通信量。

Outer Firewall --> WAF --> HTTP Proxy ---> Internal Network / Public zone DMZ

面对DMZ的内部网络/公众上的任何机器都会通过反向代理转移所有流量，然后通过WAF退出。是。

我的问题是--这是使用HTTPS反向代理部署WAF的最佳方法吗?那么，我需要回去学习吗？

Answer 1

您还没有定义网站/应用程序。它是可变的吗？-如果它主要是静态内容，那么一些web服务器规则可能会减少任何恶意通信量。

如果是客户面对/动态..。您想要所有的流量到达您的网络吗？；一个更好的选择可能是将其推入云中，拥有一个WAF+负载平衡虚拟设备在您的弹性服务器云的前端。WAF将保护不受数据完整性攻击(例如。SQL注入)；来自DOS的负载平衡/弹性。

如果您的服务是本地的，那么您将不得不面对糟糕的查询( WAF拒绝)；坏的参与者(IP阻塞；基于WAF日志)，以及最终服务的成功--合法的流量会淹没您的internet连接并对其他业务流程产生不利影响吗？

Answer 2

您的代理的目的是充当DMZ中的服务器和internet上这些服务器的客户机之间的中间角色。它可以通过拦截报头请求来扮演安全角色，也可以通过负载平衡和优化来扮演性能角色。

大多数在前提下的WAF是基于反向代理，但有更新的软件和更强大的硬件。WAF的目的是将来自web的HTTP流量中介到DMZ。它(非常)很可能已经能够执行您的反向代理能够执行的所有功能。

SSL必须在WAF或外部防火墙上终止，这取决于外部防火墙的功能。NGF =是，其他=否。

另一个考虑因素是建筑。对讲机的WAF很贵。它们通常是按吞吐量定价的，因此根据网络的大小，将内部LAN从WAF中删除可能是明智的，特别是因为它们不应该是直接到内部LAN的传入连接。

Answer 3

我要说的是，这取决于您正在传输的数据类型和可能适用的规则，终止TLS连接，然后以clear方式传输数据将违反某些法规(例如PCI)。

还有隐私方面的问题，您介意当您将TLS终止点放置到您的web入口点时，这些数据是否会清晰地传输？

您可以在WAF上完成TLS终止，然后打开另一个TLS连接到您的端点，这样数据就不会清晰地传输，但是您可以检查流，甚至可以免费使用apache和modsecurity进行waf+reverse代理。有一个GitHub对接版本，可以在分钟内设置(modsecurity-crs)。