- 概述
拓扑如上,网盘服务器以及密码服务器,均为http部署模式,使用nginx做反向代理,同时部署ssl证书对网站做https改造。网盘服务器使用的域名为pan.xxx.com,密码服务器使用的域名为passwd.xxx.com.
| 访问链接 | 域名对应IP | 服务器真实IP |
| pan.xxx.com | 192.168.2.42 | 192.168.2.43 |
| passwd.xxx.com | 192.168.2.42 | 192.168.2.44 |
山石WAF旁挂于核心交换机,采用单臂部署模式,保护站点安全
- WAF站点配置
2.1 网盘服务器
| 站点名称 | 网盘 |
| 站点状态 | 转发 |
| 站点类型 | https |
| 服务 | 192.168.137.9:4444 |
| 域 | pan.xxx.com |
| SSL/TLS证书链 | pan,选择导入的证书链 |
| X-Forwarded-For | 选中该选项,设备在转发报文时,会添加X-Forwarded-For字段,包含客户端的真实IP,使其对Web服务器可见。 |
| 代理连接关联 | 开启后,客户端到WAF设备、WAF设备到网站服务器的访问请求,将保持在同一个TCP连接上。通常适用于服务器要求认证请求在用一个连接上的场景。 |
| 关闭响应体缓存 | 勾选该选项后,系统将不再对Web网站返回的响应数据进行缓存,而是立即返回给客户端。默认系统不勾选,建议在实时性要求较高的网络环境下勾选该选项,即不进行缓存。 |
| 负载服务器 | 192.168.2.42:443 |
2.2 密码服务器
| 站点名称 | 密码服务器 |
| 站点状态 | 转发 |
| 站点类型 | https |
| 服务 | 192.168.137.9:4444 |
| 域 | passwd.xxx.com |
| SSL/TLS证书链 | passwd,选择导入的证书链 |
其余配置同上。
2.3 配置完成后,站点如下
- 后记
同一个IP+端口对应多个站点的情况下,如果是http服务,可在WAF中仅配置一个站点,配置站点域名为any规避。但如果是https服务,因为牵扯每个域名所使用的ssl证书问题,就需要给每个域名设置一个站点,每个站点配置相应的域名以及ssl证书来解决。