我需要通过互联网公开一个不安全的内部 Web 应用程序,该应用程序无法通过修改来提高其内在安全性。解决此问题的最常见方法是通过 VPN 访问 Web 应用程序。不幸的是,这在我的处境下是不可能的,所以我只能苦苦寻找其他解决方案。 在某些时候,我曾遇到过使用防火墙的情况,在用户通过 Web 表单通过身份验证后,防火墙会动态打开端口。表单位于防火墙设备提供服务的网站上,在后台,防火墙使用通过表单提供的凭据对 Active Directory 进行身份验证。身份验证通过后,防火墙会在一段有限的时间内为发起 Web 表单连接的 IP 打开一些端口。 我希望在我的...
我有一个主域 - URL,它通过 VIP 在 F5 中的 2 个真实服务器之间进行负载平衡,我希望主 URL 的子域不进行负载平衡,而是指向单个真实服务器,但具有相同的虚拟 IP。我们如何在不使用 F5 中的 irule 的情况下做到这一点?有什么建议吗! ...
我有一台在负载均衡器后面运行的 EC2 服务器。负载均衡器 URL 已映射为 route53 中的 A 记录。 审计团队要求提供公共 IP 地址。我该如何提供? 即使我共享了 ALB URL,我们如何才能让目标组下的 EC2 服务器被扫描? Nessus 是正在使用的工具。 ...
我尝试添加如下所示的内容但出现如下语法错误。 az network application-gateway waf-policy custom-rule update --resource-group rp-licaltcs-aks-prod --policy-name waf-licaltcs-prod-eastus --name WhitelistIP --set matchConditions[0].matchValues="20.80.71.229/24" "20.80.71.228/24" 预期 <class 'list'>,得到 ...
我们正在尝试在 Azure 防火墙的后端托管多个站点,但是我们有大约 30 个不同的站点,每个站点都有自己的测试\开发和 UAT 站点,这意味着 30 x 4 和 120 个站点,每个站点都托管在端口 443 上,所有站点都有自己的公共 IP,并配置了 DNAT 规则,用于根据源将流量定向到正确的后端,我们已经考虑过使用主机头重定向的 Azure 应用程序网关,但我们还没有机会实现它,我想知道有没有更聪明的方法,使用具有更少公共 IP 的 Azure 防火墙并路由到各种后端,此外,生产公共站点没有指定源,因为它们向公众开放。 希望我已经解释清楚了。谢谢 ...
大家,早安! 首先,请告诉我方向,我可以在哪里查看文档。我应该找一位顾问,但作为 DBA,我想自己解决这个问题。 问题: 管理层决定报告服务器 (RS) 网站应在 Barracuda Web 应用程序防火墙 (WAF) 后面运行 AD、WAF、网络不是我自己管理的 RS服务器在数据库服务器上实现 公开的 URL 与 RS 服务器名称和网络域名不同 公共网址 rsweb.company.com 带有服务器名称的私有 URL server.domain.loc WAF 不进行 SSL 卸载并且没有 URL 重写引擎 我们需要使用 Kerberos 我们对...
以下场景: Web 应用程序,仅限 HTTP/S 流量 防火墙仅允许端口 80/443 上的流量 WAF 已到位,将拒绝恶意流量 问题:在这种情况下,采用 IPS/深度包检测解决方案是否有任何附加价值?据我所知:没有。但我没有找到任何明确的答案。 ...
两个问题,第二个问题与第一个问题相关…… ClamAV 如何确保其更新病毒定义操作不会受到在线服务器的保护?我假设(?)它使用 HTTPS 来确保安全,但一位安全专家提出了一个深思熟虑的问题:鉴于 ClamAV 会定期使用从在线服务器获得的定义进行更新,这为利用漏洞创造了机会 - 所有来自 ClamAV 的调用都应通过“下一代”防火墙进行路由。 我不确定这比通过现有防火墙(由在线托管机构提供)路由流量有什么优势? ...
我们需要为目前正在开发的 Web 服务安装 WAF,我不确定是否应该使用 FrontDoors 或 ApplicationGateway。首先,我们计划只为欧洲提供服务,因此在这种情况下 FrontDoors 不是必需的,对吗?但在未来(可能是发布 1 年后),我们还想在美国等地区提供服务,因此在这种情况下我们可能需要 FrontDoors。 所以我的问题是:我们现在是否应该使用 FrontDoors,因为考虑到我们以后会需要它,即使我们不使用所有功能,而且我认为 FrontDoors 相当昂贵,或者一开始是否值得使用 ApplicationGateway?...
%20%E4%B8%AD%E5%AE%9E%E7%8E%B0%E9%80%9F%E7%8E%87%E9%99%90%E5%88%B6%EF%BC%9F.png)
我正在寻求对 Azure WAF 实施全局速率限制。我已经创建了自定义速率限制规则,但它们是基于 IP 的。我知道 Azure DDoS 保护提供了一定的覆盖范围限制。但我的目标是在我的应用程序变得不稳定或基础设施成本过高之前,对 HTTP 请求的数量进行最大限制。我确实定义了 K8 pod 的最大数量及其 CPU 限制,但这是确保一切正常的额外步骤。 我觉得这应该是一个常见的用例,但我还没有找到解决方案。 我联系了 Azure 支持,他们说他们没有全局速率限制的选项。到目前为止,我发现的唯一可行解决方案是使用 NGINX Ingress 控制器,详情请...
我正在尝试限制特定主机(例如 AWS)访问我的 Web 服务器。我尝试了不同的方法,但都没有用。 # Block AWS SecRule REQUEST_HEADERS:Host ".*\.amazonaws\.com.*" \ "msg:'AWS blocked',id:10007,log,t:lowercase,drop,phase:1" 我试过: SecRule REQUEST_HEADERS:Host ".*\.amazonaws\.com.*" SecRule REQUEST_HEADERS:Host "@rx ^.*\.amazonaws\.c...
目前我们的应用服务器可以直接在互联网上访问,如下图所示。 考虑到这一点,如果服务器崩溃(硬件故障)或以某种方式停止工作,那就太可怕了。 为了防止这种情况,我想拆分我的应用服务器并在其前面放置一个负载平衡器,如下图所示。这里显示了一个单独的数据库服务器,但这不是问题的一部分,而是一个注意事项,该数据库也将从 APS 中提取。 目前,WAF(apache 的 modsecurity)在应用程序服务器上运行,您会将 WAF 放在新配置的负载均衡器上吗?我考虑使用 NGINX 作为它的代理/负载均衡器。还是我应该将其留在 APS 上?我也不确定 TLS 终止是由...
我试图在 waf2 中制定一个 acl 规则,该规则仅允许正则表达式匹配的 cookie 值,但前提是该 cookie 存在。 遗憾的是,这种类型的条件规则是不可能的,我尝试了很多方法和正则表达式技巧,但都没有成功。 对于任何其他标头,例如 X-Csrf-Token,也同样如此,我想验证它(格式),但对于网站上的第一个请求,此标头不存在,因此该请求将被阻止。 我做错或想错了吗?我无法相信像这样的常识性规则如此难以制定。 谢谢! ...
我可以使用与应用程序网关位于不同虚拟网络上的虚拟机(后端池)吗? 当我尝试时,VM 列表是空的。 谢谢 ...
%20%2F%20Plesk%20IP%20%E8%A2%AB%E7%A6%81%E6%AD%A2%EF%BC%8C%E6%98%AF%20Googlebot%20%E5%90%97%EF%BC%9F%E6%98%AF%E8%AF%AF%E6%8A%A5%E5%90%97%EF%BC%9F%E6%98%AF%E6%81%B6%E6%84%8F%20IP%20%E5%90%97%EF%BC%9F.png)
我的 Plesk 服务器提醒我,某个 IP 地址已被禁止。通常我不会检查被禁止的 IP,但这次恰好与我们的网站同时停机 1 分钟。 Banned the following ip addresses on Mon Jul 27 21:05:01 AEST 2020 216.239.38.21 with 154 connections 我用Web 应用程序防火墙 (ModSecurity)Plesk 提供的 经过快速检查,我发现这是一个 Google IP:https://whatismyipaddress.com/ip/216.239.38.21 Host...