База знаний по категориям
Возможно ли развернуть WAF не на границе сети, а, например, за уже существующим межсетевым экраном? Обязательно ли требование по использованию нескольких сетевых интерфейсов?
WAF Dallas Lock нацелен на защиту веб-серверов, расположенных в демилитаризованной зоне (DMZ), и сетевой инфраструктуры (LAN) от угроз, исходящих из глобальной сети Интернет (WAN). Предполагается, что шлюз безопасности будет использовать три логически разделённых сетевых интерфейса и контролировать траффик между ними.
Однако возможны и иные схемы внедрения шлюза безопасности. Например, чтобы защитить внутренний сервис от нежелательного воздействия внутри сети.
Для такого сценария использования WAF можно активировать только один сетевой интерфейс.
Пример: клиенты внутри LAN сети имеют адреса 192.168.1.x, защищаемый ресурс находится в адресном пространстве: 192.168.1.x. В этом случае WAF размещается в разрыв сети с одним сетевым интерфейсом: 192.168.1.x. Для того чтобы траффик до защищаемого был под контролем WAF, необходимо добавить сервер под защиту, а его внутренний ip-адрес или DNS-имя заменить на адрес WAF. Это можно сделать с помощью изменения файла hosts на клиентах, либо с помощью изменения настроек адресации на DNS-сервере.