Overview
다음 기사에서는 HTTP / S로드 밸런서 리버스 프록시가 모든 공개 웹 서비스에 대한 주요 액세스 지점 인 ISP 또는 호스팅 제공 업체의 실제 사용 사례를 설명합니다.이 구성은 강력하고 강력한 WAF를 구성하는 방법을 보여줍니다. 블랙리스트 소스 IP 주소를 기반으로 웹 애플리케이션을 보호하기위한 규칙 세트 가상 호스트 하나의 퍼블릭 IP가 다음과 같은 웹 도메인에 연결하는 것을 금지 할 수있는 방식으로 자체 블랙리스트를 관리합니다. www.company1.com 하지만 연결이 허용 www.company2.com.
이 기사에서는 두 섹션으로 기사를 중점적으로 다루고, 메인 섹션에서 HTTPS 프로필 구성은 다른 서비스 목록이있는 리버스 프록시로 작동하고, 두 번째 섹션에서는 웹 응용 프로그램 방화벽 HTTP / S 서비스마다 다른 블랙리스트를 관리하는 규칙 세트.
환경
다음 다이어그램은 Zevenet WAF 내부를 설명합니다. 도시 된 바와 같이, 제 1 계층은 WAF 모듈로서, 초기 단계에서는 안전한 요청 만이로드 밸런싱 모듈로 통과하고 요청을 백엔드로 전달할 수 있도록하는 것이 목표이다.
먼저, HTTP 주인 이미 구성된 블랙리스트에서 헤더가 평가되고 클라이언트 IP가 점검됩니다. 만약 주인 헤더와 클라이언트 IP 주소가 일치하면 연결이 끊어지고 금지 403 HTTP 응답이 클라이언트로 전송되지만 클라이언트 IP가 요청 된 경우 주인 헤더가 일치하지 않으면 트래픽이 악성이 아닌 것으로 식별되고로드 밸런서 모듈로 전달됩니다. 여기서 대상은 HTTP 요청에 따라 선택됩니다. 주인 마지막으로 사용 가능한 백엔드 서버로 전달됩니다.
주어진 예제에 대한 웹 애플리케이션 방화벽 내부의 스키마를 찾을 수 있습니다.
HTTP 가상 서비스 구성
하나의 전용 구성 가상 IP 주소우리의 예에서 192.168.100.58을 탐색하여 네트워크> 가상 인터페이스> 가상 인터페이스 생성 다음과 같이 :
이제 HTTP 부하 분산 서비스를 구성 해 보겠습니다. LSLB> 농장 그런 다음 버튼을 클릭하십시오 농장 만들기 다음과 같이 가상 서비스 세부 정보를 입력합니다.
그런 다음 만들기.
이제 상단 탭을 클릭하십시오 제공되는 서비스 버튼을 클릭하여 관리하는 다른 웹 사이트만큼 많은 서비스를 만들 수 있습니다. 새로운 서비스우리의 경우, 우리는 서비스를 관리하기 위해 두 가지 다른 서비스를 만들 것입니다. www.mycompany1.com 그리고 또 하나 www.mycompany2.com.
서비스가 생성되면 가상 호스트 아래 이미지에 표시된대로 필터 및 백엔드
여러 웹 사이트가있는 경우 동일한 IP 주소에서 각 웹을 관리하는 하나의 전용 서비스를 정의하기 위해 더 많은 서비스 만 추가하면됩니다.
이제로드 밸런싱 구성이 완료되었으며 IPDS 웹 애플리케이션 방화벽 모듈을 구성 할 수 있습니다.
블랙리스트 구성
우리는 각 블랙리스트에 액세스를 차단하기 위해 원하는 IP 주소를 입력하기 위해 웹 서비스 당 하나의 블랙리스트를 만들 것입니다. 이 예에서는 이름이 다른 두 개의 블랙리스트를 만듭니다. 블랙리스트 및 블랙리스트, 서비스 당 하나씩.
이 블랙리스트는 경로에 저장됩니다 /usr/local/zevenet/config/ipds/blacklists/lists/Blacklistmycompany1.txt.
테스트 목적으로 2 IP 주소를 포함 시켰습니다. 필요한만큼 IP를 추가하는 것을 고려하십시오. 또한 이미 존재하는 블랙리스트 에서 IPDS 모듈을 사용할 수 있습니다.
이 두 번째 블랙리스트는 경로에 저장됩니다 /usr/local/zevenet/config/ipds/blacklists/lists/Blacklistmycompany2.txt.
이 블랙리스트에 IP 주소가 포함되어 있음을 고려하십시오. 192.168.1.191이 IP는 테스트 목적으로 만 사용되며 HTTP 요청을 실행할 위치에서 사용됩니다.
웹 애플리케이션 방화벽 규칙 세트 구성
이 구성의 목적은 전체 팜 액세스 지점에 대해 동일한 블랙리스트를 유지하지 않도록 웹 사이트마다 다른 IP 블랙리스트를 유지하는 것입니다.
우리는 규칙 집합, 이름이있는 규칙 그룹 호스팅 블랙리스트. 이 규칙 세트는 두 개의 간단한 규칙 (이 예에서는 규칙 ID 1000 및 규칙 ID 1001)으로 구성되며 각 규칙은 일치 및 조치로 정의되며, 조건이 일치하면 조치가 실행됩니다. 이 예에서 조건이 조건과 일치하는 경우 두 규칙에서 동일한 동작을 사용합니다. 조치 거부 로 실행 403 액세스가 거부되었습니다. 응답.
We Buy Orders 신청서를 클릭하세요. IPDS> WAF, 다음을 클릭하십시오. WAF 규칙 세트 작성 예제에서 설명 규칙 세트 이름을 설정하십시오. 호스팅 블랙리스트.
필드 구성 기본 단계 에 요청 헤더가 수신 됨. 이 필드는 WAF 모듈이 클라이언트에서 들어오는 요청 헤더를 분석 함을 의미합니다.
그런 다음 탭으로 이동 규칙 그리고 첫 번째를 만들 통치 유형의 동작 아래에 표시된대로.
이제 규칙 세트의 첫 번째 규칙이 작성되었습니다. 각각의 블랙리스트에있는 클라이언트 IP와 일치시키기 위해 조건을 작성할 수 있습니다. 주인 헤더. 이동 상태 에 따라 조건을 만듭니다 REMOTE_ADDR 아래와 같이 변수를 변경하십시오.
그런 다음 다른 조건을 만듭니다. 가상 호스트 에 따라 일치 SERVER_NAME 다음과 같이 변수 :
이 시점에서 첫 번째 호스팅 된 웹 사이트 www.mycompany1.com 이미 구성된 블랙리스트에서 웹 애플리케이션 블랙리스트 IP 주소를 관리합니다. Blacklistmycompany1.txt.
두 번째 웹 사이트에 대한 다른 규칙을 만들어 보겠습니다. www.mycompany2.com 이전 규칙 구성과 동일한 구성을 반복하지만이 경우에는 SERVER_NAME 에 mycompany2.com 다음을 참조하십시오 blacklist2.txt.
복합 WAF 규칙 세트의 전체 구성을 참조하십시오.
마지막으로이 규칙 집합을 이미 생성 된 팜에 추가하고 탭으로 이동 농장 농장을 옮기고 호스팅이 예에서는 활성화 된 팜 아래에 표시된대로 섹션.
이제 팜의 WAF 규칙 세트를 시작하고 조치를 클릭하십시오. 연극 이 창의 왼쪽 상단에 시스템이 팜의 HTTP 트래픽을 필터링하기 시작합니다. 호스팅.
웹 애플리케이션 방화벽 규칙 세트 테스트
클라이언트 IP 192.168.1.191 웹 사이트를 요청합니다 http://www.mycompany1.com 및 http://www.mycompany2.com 우리 구성에 따르면 WAF 시스템은 동일한 이름으로 첫 번째 서비스에 연결할 수 있지만 연결은 거부됩니다. mycompany2.com 이 IP는 이름으로 블랙리스트에 포함 되었기 때문에 블랙리스트.
로드 밸런서를 통해 www.mycompany192.168.1.191.com 웹 사이트를 요청하는 IP 주소 1에서 VIP로 :
root@192.168.1.191:# curl -H "Host: www.mycompany1.com" http://192.168.100.58 -v * Rebuilt URL to: http://192.168.100.58/ * Trying 192.168.100.58... * TCP_NODELAY set * Connected to 192.168.100.58 (192.168.100.58) port 80 (#0) > GET / HTTP/1.1 > Host: www.mycompany1.com > User-Agent: curl/7.52.1 > Accept: */* > < HTTP/1.1 200 OK < Server: nginx/1.10.3 < Date: Tue, 10 Sep 2019 15:36:22 GMT < Content-Type: text/html < Content-Length: 11383 < Last-Modified: Thu, 13 Dec 2018 11:01:49 GMT < Connection: keep-alive < ETag: "5c123c1d-2c77" < Accept-Ranges: bytes <
로드 밸런서를 통해 www.mycompany192.168.1.191.com 웹 사이트를 요청하는 IP 주소 2에서 VIP로 :
root@192.168.1.191:# curl -H "Host: www.mycompany2.com" http://192.168.100.58 -v * Rebuilt URL to: http://192.168.100.58/ * Trying 192.168.100.58... * TCP_NODELAY set * Connected to 192.168.100.58 (192.168.100.58) port 80 (#0) > GET / HTTP/1.1 > Host: www.mycompany2.com > User-Agent: curl/7.52.1 > Accept: */* > * HTTP 1.0, assume close after body < HTTP/1.0 403 Request forbidden < Content-Type: text/html < Content-Length: 17 < Expires: now < Pragma: no-cache < Cache-control: no-cache,no-store < * Curl_http_done: called premature == 0 * Closing connection 0 replied forbiddenp
한 번 금지 된 응답이 생성되면 WAF 모듈은로드 밸런서 Syslog 파일에서 거부를 알립니다.
root@zva6000:# tail -f /var/log/syslog Sep 10 15:38:44 zva6000 pound: Hosting, ModSecurity: Warning. Matched "Operator `StrMatch' with parameter `mycompany2.com' against variable `SERVER_NAME' (Value: `www.mycompany2.com' ) [file "/usr/local/zevenet/config/ipds/waf/sets/HostingBlacklisting.conf"] [line "17"] [id "1001"] [rev ""] [msg "Custom Match 2"] [data ""] [severity "0"] [ver ""] [maturity "0"] [accuracy "0"] [hostname "192.168.100.58"] [uri "/"] [unique_id "156812992458.770641"] [ref "v0,13v21,18"] Sep 10 15:38:44 zva6000 pound: Hosting, [WAF,service mycompany2, backend 192.168.100.22:80,] (7f6cfac3c700) [client 192.168.1.191] ModSecurity: Access denied with code 403 (phase 1). Matched "Operator `StrMatch' with parameter `mycompany2.com' against variable `SERVER_NAME' (Value: `www.mycompany2.com' ) [file "/usr/local/zevenet/config/ipds/waf/sets/HostingBlacklisting.conf"] [line "17"] [id "1001"] [rev ""] [msg "Custom Match 2"] [data ""] [severity "0"] [ver ""] [maturity "0"] [accuracy "0"] [hostname "192.168.100.58"] [uri "/"] [unique_id "156812992458.770641"] [ref "v0,13v21,18"] Sep 10 15:38:44 zva6ktpl1 pound: Hosting, service mycompany2, backend 192.168.100.25:80, (7f6cfac3c700) WAF denied a request from 192.168.1.191
이제 HTTP / S 심층 패킷 검사 기술을 사용하여 웹 애플리케이션을 보호하기 위해 사용자 정의 방화벽 규칙 세트를 빌드 할 수 있습니다.