ネットワーク設計の一部として、HTTPリバースプロキシとWAFを実装しています。
HTTPプロキシは、外側のファイアウォールのどちらかでSSLを終了することを考えています。そのため、WAFはレイヤー7トラフィックを捕まえることができます。
Outer Firewall --> WAF --> HTTP Proxy ---> Internal Network / Public zone DMZ
内部ネットワーク上のすべてのマシン/パブリックフェイスDMZ次に、すべてのトラフィックをリバースプロキシ経由で転送し、WAF経由でバックアウトします。はい。
私の質問は-これはHTTPSリバースプロキシでWAFを展開するための最良の方法ですか?それで、勉強に戻る必要がありますか?
あなたはウェブサイト/アプリケーションを定義していません。変更可能ですか? -ほとんどが静的なコンテンツである場合、いくつかのWebサーバールールにより悪意のあるトラフィックがドロップされる可能性があります。
それが顧客向け/動的である場合...すべてのトラフィックがネットワークに到達するようにしますか?;より適切なオプションは、それをクラウドにプッシュすること、WAF +ロードバランシング仮想アプライアンスをエラスティックサーバークラウドの前に配置することです。 WAFはデータ整合性攻撃(SQLインジェクションなど)から保護します。 DOSからの負荷分散/弾性。
ローカルにある場合は、不正なクエリに対処する必要があります(WAFによって拒否されます)。不正行為者(IPでブロック、WAFログに基づく)、そして最終的にはサービスの成功-正当なトラフィックがインターネット接続を圧倒し、他のビジネスプロセスに悪影響を与える可能性がありますか?
プロキシの目的は、DMZ内のサーバーとインターネット上のそれらのサーバーのクライアントとの間で中間的に機能することです。ヘッダー要求を傍受することでセキュリティロールで機能し、負荷分散と最適化によるパフォーマンスの役割。
オンプレミスWAFの大部分はリバースプロキシに基づいていますが、ソフトウェアとより強力なハードウェアが更新されています。 WAFの目的は、WebからDMZに送信されるHTTPトラフィックを仲介することです。リバースプロキシが実行できるすべての機能を(非常に)実行できる可能性があります。
SSLは、外部ファイアウォールの機能に応じて、WAFまたは外部ファイアウォールで終了する必要があります。 NGF =はい、その他=いいえ。
もう1つの考慮事項はアーキテクチャです。オンプレミスのWAFは高価です。これらは通常、スループットに価格が設定されているため、ネットワークのサイズによっては、特に内部LANへの直接の接続がないため、WAFから内部LANを削除することが賢明な場合があります。
転送するデータの種類と適用される可能性のある規制によって異なり、TLS接続を終了してからデータをクリアに転送すると、一部の規制(PCI-DSSなど)に違反することになります。
プライバシーの懸念もあります。TLSターミネーションポイントをWebエントリポイントに配置するたびに、データが平文で転送されてもよろしいですか?
WAFでTLS終了を行ってから、エンドポイントへの別のTLS接続を開いて、データが明確に移動しないようにすることができますが、フローを検査することができます。Apacheを使用したwaf + reverseプロキシとmodsecurityの両方を無料で行うこともできます。数分で設定できるGitHub Dockerバージョンがあります(modsecurity-crs-rp)。