Работа Nemesida WAF за AWS NLB

alex_rm

New member
Добрый день!
Хотим попробовать Nemesida WAF в своей инфраструктуре. Скажите пожалуйста, будет ли работать экран, если его расположить за network балансером (мы используем AWS NLB)? Дело в том, что балансер меняет IP клиентских пакетов на свои. Т.е. как в этом случае нужно настроить экран, мы планируем включить модуль экрана на обратных прокси nginx, которые стоят за балансером.
 
Добрый день!
Хотим попробовать Nemesida WAF в своей инфраструктуре. Скажите пожалуйста, будет ли работать экран, если его расположить за network балансером (мы используем AWS NLB)? Дело в том, что балансер меняет IP клиентских пакетов на свои. Т.е. как в этом случае нужно настроить экран, мы планируем включить модуль экрана на обратных прокси nginx, которые стоят за балансером.
Добрый день,

да, Nemesida WAF может работать в таком режиме. Для этого вам нужно добавить в
конфигурационный файл Nginx, например, в nginx.conf:
Code:
http {
...
set_real_ip_from x.x.x.x;
...
}
Также ваш network балансер должен передавать IP-адрес клиента в заголовках запросов.
 
Спасибо за ответ!
Но в том и дело, что AWS NLB работает на tcp уровне и не добавляет заголовки X-forwarded-for и подобные. Другой балансер (http) мы не можем использовать, т.к. нам нужен статический IP на входе, а это может только Network Load Balancer на амазоне.
Т.е. в этом случае не будет корректно работать экран?
 
Спасибо за ответ!
Но в том и дело, что AWS NLB работает на tcp уровне и не добавляет заголовки X-forwarded-for и подобные. Другой балансер (http) мы не можем использовать, т.к. нам нужен статический IP на входе, а это может только Network Load Balancer на амазоне.
Т.е. в этом случае не будет корректно работать экран?

Nemesida WAF использует информацию об IP-адресе клиента из Nginx. Вам необходимо добиться, чтобы на Nginx поступал реальный IP-адрес пользователя, возможно ваш Network Load Balancer предоставляет соответствующий модуль для Nginx. Также возможно использование Nemesida WAF в режиме IDS (мониторинг без функции фильтрации), или присвоении опции block_time из файла nwaf.conf значения 0 (вредоносный запрос будет заблокирован, но механизм блокировки IP-адреса выключен).

У нас не было подобных кейсов, будем признательны, если вы поделитесь вашим решением.
 
Вопрос в продолжение темы. А фильтр блокирует запросы, если block_time=0 ?
 
Вопрос в продолжение темы. А фильтр блокирует запросы, если block_time=0 ?

Добрый день,

Да, вредоносные запросы будут блокироваться. Но не будет работать блокировка IP-адреса после превышения лимита заблокированных запросов.
 
Back
Top