Abbiamo un sito Web ospitato dietro WAF e utilizzeremo HTTPS. Il server ha già un SSL valido. Abbiamo anche bisogno di installare SSL sui server WAF?
Un WAF applica regole di filtro sul traffico a livello di "applicazione" (ad es. tenta di rilevare l'iniezione SQL tentativi). Ciò richiede che WAf veda il traffico, ad esempio qualsiasi SSL che potrebbe essere accaduto sul lato client deve fermarsi al WAF. Ma di solito si desidera un po 'di SSL per proteggere il traffico tra il client e il WAF (in realtà, di solito lo si desidera più su quel collegamento che non tra il WAF e il server stesso, poiché WAF e il server sono solitamente vicini l'uno all'altro).
Ci sono due modi per un WAF di vedere il traffico protetto da SSL:
Il WAF ha una copia della chiave privata utilizzata dal server (che riconosce SSL) e quindi può decodificare i dati mentre scorre. (Ciò può comportare alcune restrizioni sulle suite di crittografia utilizzate dal server, ovvero DHE).
Lo stesso WAF esegue un server SSL, che è quello che vede il client. Il WAF decrittografa i dati, ne esegue la magia e quindi li inoltra al server tramite una nuova connessione che può o meno essere protetta da SSL.
Quale si utilizza dipende da cosa può fare l'istanza WAF e da come lo hai configurato.
Sì.
In ogni caso, il certificato SSL dovrà essere installato sul WAF in modo che possa ispezionare il traffico crittografato.