Reverse Proxy + WAF

5

Come parte della progettazione della rete, sto implementando un proxy HTTP Reverse e un WAF.

Il proxy HTTP, sto pensando di terminare SSL, sul firewall esterno - così il WAF può insidiare il traffico del livello 7.

Outer Firewall --> WAF --> HTTP Proxy ---> Internal Network / Public zone DMZ

Qualsiasi macchina sulla rete interna / pubblica che fronteggia DMZ, quindi, devierà tutto il traffico attraverso il proxy inverso, quindi tornerà indietro attraverso il WAF. Sì.

La mia domanda è - è questo il modo migliore per distribuire un WAF con il proxy inverso HTTPS, quindi devo tornare a studiare?

    
posta user3853149 15.03.2016 - 16:27
fonte

3 risposte

2

Non hai definito il sito web / l'applicazione. È mutabile? - Se si tratta principalmente di contenuto statico, alcune regole del web server potrebbero far cadere il traffico dannoso.

Se è il cliente di fronte / dinamico ... vuoi tutto quel traffico che colpisce la tua rete ?; un'opzione migliore potrebbe essere quella di spingerlo nel cloud, avere un dispositivo virtuale di bilanciamento del carico WAF + davanti al cloud elastico del server. WAF proteggerà dagli attacchi di integrità dei dati (ad esempio SQL injection); bilanciamento del carico / elasticità da DOS.

Se lo hai locale, dovrai fare i conti con domande non valide (respinte da WAF); i cattivi attori (bloccati per IP, basati sui registri WAF) e, in definitiva, il successo del servizio - il traffico legittimo può travolgere la tua connessione Internet e influire negativamente su altri processi aziendali?

    
risposta data 25.11.2017 - 00:12
fonte
1

Lo scopo del tuo Proxy è quello di agire da intermedio tra i server nella tua DMZ e i client di quei server su Internet. Può agire in un ruolo di sicurezza intercettando le richieste di intestazione e può agire in un ruolo di prestazione tramite il bilanciamento del carico e l'ottimizzazione.

La maggior parte dei WAF on-premise si basano su proxy inversi ma hanno software aggiornato e hardware più potente. Lo scopo del tuo WAF è quello di mediare il traffico HTTP proveniente dal web nella tua DMZ. È (molto probabile) già in grado di eseguire tutte le funzioni che il proxy inverso può eseguire.

SSL deve essere terminato sul WAF o sul firewall esterno a seconda della funzione del firewall esterno. NGF = Sì, Altro = No.

Un'altra considerazione è l'architettura. I WAF on-premise sono costosi. In genere sono prezzati sulla velocità effettiva, quindi, a seconda delle dimensioni della rete, potrebbe essere opportuno rimuovere la LAN interna dal WAF, soprattutto perché non dovrebbero esserci connessioni in entrata direttamente alla LAN interna.

    
risposta data 13.09.2017 - 12:22
fonte
0

Direi che dipende dal tipo di dati che stai trasferendo e dai regolamenti che possono essere applicati, terminando la connessione TLS e trasferendo i dati in chiaro sarà una violazione di alcuni regolamenti (ad esempio PCI-DSS).

C'è anche il problema della privacy, ti dispiace se i dati viaggiano in modo chiaro da quando inserisci il punto di terminazione TLS al tuo punto di accesso web?

È possibile eseguire la terminazione TLS al WAF e quindi aprire un'altra connessione TLS all'endpoint in modo che i dati non stiano viaggiando in chiaro ma si può ispezionare il flusso, si può anche fare sia waf + reverse proxy con apache e modsecurity gratuitamente . Esiste una versione docker GitHub che può essere configurata in pochi minuti (modsecurity-crs-rp).

    
risposta data 20.11.2018 - 18:53
fonte

Leggi altre domande sui tag