透明模式WAF

Question

我想使用Mod Security作为透明模式。Mod安全web应用程序防火墙(WAF)应该在服务器和客户端之间，并且只有服务器的IP地址才能访问站点。客户端不应该知道Mod安全性的存在，因为它提供了服务器的IP地址，与反向代理模式不同。是否可以像上面提到的那样使用mod安全性？

我希望将mod安全性部署为透明代理(第7层)。

Answer 1

我的第一个问题是为什么？

如果mod_security位于实际服务器上，那么它将是透明的。

如果mod安全性在网关上，那么客户端将只看到网关服务器地址。只需使用x转发-for来查看服务器日志中的客户端IP。

可以在两个子网配置中使用linux内核中的TPROXY，其中服务器默认网关通过mod sec框转换(服务器将无法具有公共IP地址)。

但是我不确定apache/mod_sec是否支持TPROXY，它需要特定的代码来支持它(就像在HAProxy中那样)。