我想使用 Mod Security 作为透明模式。Mod Security Web 应用程序防火墙 (WAF) 应位于服务器和客户端之间,客户端仅提供服务器的 IP 地址即可访问网站。客户端不应该知道 Mod Security 的存在,因为它提供了服务器的 IP 地址,这与反向代理模式不同。是否可以使用上述的 Mod Security?
我想将 mod 安全性部署为透明代理(第 7 层)。
答案1
我的第一个问题是为什么?
如果 mod_security 位于实际服务器上,它将是透明的。
如果 mod security 位于网关上,则客户端将只能看到网关服务器地址。只需使用 x-forwarded-for 即可在服务器日志中查看客户端 IP。
可能可以在双子网配置的 Linux 内核中使用 TPROXY,其中服务器的默认网关通过 mod sec box 进行转换(服务器不能拥有公共 IP 地址)。
但我不确定 apache/mod_sec 是否支持 TPROXY,它需要专门的代码来支持它(例如在 HAProxy 中)。