sz-ts
发布于

【雷池】软件版-反向代理模式-站点配置

各位师傅好,本文章介绍软件版 反向代理模式的防护站点配置 添加说明。 由于软件版反向代理模式 与 硬件版反向代理模式 站点配置思路基本一致,且功能原理基本一致,因此如果需要快速上线配置的指导,可以参考【雷池】硬件版-反向代理模式WAF快速上线配置 文章中的上线配置章节 。同时本文章中描述的站点配置细节内容,同样适用于 硬件版反向代理的站点配置,其中部分参数说明也适用于 硬件版透明代理。

添加站点

1、首先添加一个站点,点击“网站防护”>“防护站点管理”, 点击右上角添加站点,如下填写后,点击确定,创建站点成功。

软件版无需配置工作组、IP



2、如果站点是https站点,则需要勾选“启用SSL”,同时勾选“SNI转发”

站点配置细节

编辑防护站点

防护站点-基本信息


可对名称、站点启用禁用状态、监听的端口、域名、备注信息,(当处理HTTPS流量时可对)HTTPS证书、SSL版本、SSL加密算法等进行配置。并查看站点创建和最后更新的时间。

  • 站点名称:可输入任意字符
  • 站点状态:分为启用和禁用,启用时相关流量会按该站点的相关配置进行转发和检测,并且根据站点的健康检查状态展示是否正常的信息,若健康检查失败,则会显示【异常】。
  • 监听端口:可配置多组端口,选择端口是否启用SSL、HTTP2、SNI转发。并对应进行证书的配置。
  • 域名:监听端口上匹配的域名,所有经过已配置的端口匹配为该域名的流量都将进行后续的处理。此处支持填写IP或域名。
  • HTTPS证书:若需处理HTTPS流量,在端口出开启启用SSL即会出现该配置项。在此处配置所需要的证书,支持选择已有的和新上传。
  • SSL版本:该配置需要与站点的 SSL/TLS 协议版本要完全一致,支持的版本包括SSLv2、SSLv3、TLSv1、TLSv1.1、TLSv1.2、TLSv1.3,建议根据客户业务原本实际对外提供的SSL/TLS协议支持情况进行配置,编辑该站点,选择“基本信息”>"SSL版本"进行配置。
  • SSL加密算法:可调整加密算法。一般不用进行配置,仅当一些特殊情况需要进行配置。比如:当通过安全评估工具(如:漏洞扫描器、https://myssl.com)检测站点使用了不安全红色加密算法时,根据客户需求,进行算法配置的调整。(可联系长亭技术支持咨询相关配置方法)

防护站点-请求处理方式

在创建完成后,可根据实际业务情况调整 WAF 处理请求的方式。

  • 响应方式:配置请求响应(转发)方式,可配置为响应的业务服务器/重定向/指定内容三种方式,并按照对应的响应方式配置响应动作等。在配置了【转发到业务服务器】的响应方式前提下,需要配置对应方式下的一些请求处理以及相关配置选项。

  • 调度算法:在反向代理模式下,WAF可提供多种负载均衡方法,一般也称作“调度算法”,目前提供四种可供选择配置的调度算法:加权轮询法、最小连接数法、源地址哈希法、会话保持。

  • 保持连接配置:在反向代理以及透明代理模式下,配置站点流量转发过程中与业务服务器保持连接的方式。

  • X-Forwarded-For:X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。此配置提供三种X-Forwarded-For头部的配置选项,如图所示:

  • 业务服务器健康检查:业务服务器健康检查功能能够辅助判断监听(保护)服务器的可用状态,确认服务器的可用性。常客户业务站点存在2台及以上的后端业务服务器,建议开启健康检查。

    健康检查的协议,可以根据客户需求选择4层的TCP或者7层的HTTP/HTTPS协议,目的是为了检查后端业务服务器的健康状态。健康检查方式配置项说明如下:

  • 业务服务器地址:转发(防护)的业务服务器地址信息。推荐配置为 IP 地址,可避免因填入域名信息所导致的域名解析问题。

  • 记录访问日志:配置WAF在检测统计时所记录的请求访问信息,WAF的访问频率控制、扩展插件都会调用访问相关的信息。该配置不影响攻击检测日志记录。

  • HTTP头设置:用于修改HTTP请求信息,可对请求头、响应头进行添加/隐藏操作。
    例如:
    ① 配置请求头添加 [参数名:name] [参数值:zhangsan],访问对应的防护站点,可在业务服务器进行请求抓包,请求信息中的请求头中会包含 ‘name:zhangsan’的信息;
    ② 配置响应头隐藏 [参数名:name] ,构造包含[参数名:name] [参数值:zhangsan] 的请求访问对应的防护站点,对WAF 返回的请求响应信息进行抓包,响应内容中将不显示对应的请求响应头信息。

  • 回源IP配置:WAF作为代理服务器与后端业务服务器建立连接时,可能存在所需建立的连接数超过单个IP(即回源 IP:WAF与后端业务服务器建立连接所使用的 IP)发起请求服务所能使用的端口数量(理论端口数量65535),此时可以通过回源IP配置来解决此类问题。会话保持:若在未使用WAF 设备代理前,使用源IP哈希进行会话保持的场景,可通过将会话保持配置为对应的【源地址哈希】的会话保持方式即可。
    配置IP,软件版也需要在操作系统提前配置好需要使用的IP。

关于产品 #雷池#场景配置
浏览 (1617)
点赞 (5)
收藏
打赏
评论