有没有在服务前边装雷池WAF的?能搞通吗?
用虚拟机测试,在活字格服务端前边加一个雷池WAF防火墙后,发布时连不上服务端,关掉WAF又没问题有没有搞过的朋友?讨点经验。
规划方案是这样的:
测试方案是在虚拟机中建一个专网来连接服务器,用宿主机模拟办公网环境来发布应用
访问前端后端都没问题,测试WAF也能监控流量,就是发布不行,发布时用的端口也开了
关掉防火墙就没问题
收到,感谢大佬分享的对接过程,这边看到您的结论是期望支持Linux环境下的离线发布功能,这个需求目前已经提交开发,后面有进展会这个帖子里给您反馈 大佬,这个防火墙还没有使用过,如果开启之后无法发布,请教下是测试连接也无法连接还是在发布过程中提示发布失败的,如果是后者可以收集下您设计器和服务器日志这边调查下
一看就会,超有用活字格技能:四十五,错误日志收集功能
https://gcdn.grapecity.com.cn/showtopic-52854-1-1.html
(出处: 葡萄城开发者社区)
本帖最后由 scliudong 于 2024-7-12 21:27 编辑
Shawn.Liu 发表于 2024-7-11 17:55
大佬,这个防火墙还没有使用过,如果开启之后无法发布,请教下是测试连接也无法连接还是在发布过程中提示发 ...
抱歉,近期又是安全检查,这两天在忙其他的。
下午抽空整理了一下实验环境,将实验过程发上来看能不能用上。
============================
测试说明:在宿主PC上安装两个虚拟机(Hyper-V),均使用openEuler服务器操作系统,一台安装雷池WAF社区版防火墙,一台安装活字格服务端,均配置为双网卡。
宿主PC IP:192.168.171.50
业务端口:应用Web访问和发布端口:22370,后台服务端口:22345,所有环境设备均开放以上两个端口
WAF防火墙IP1:192.168.171.100(模拟外网),IP2:192.168.150.200(模拟内网),开放端口:22370、22350
活字格服务器IP1:192.168.171.104(模拟外网),IP2:192.168.150.204(模拟内网),开放端口:22370、22350
实验目的:正式环境服务器在防火培后面,所以需要通过防火墙192.168.171.100:22370(外网环境)路由后跳转到192.168.150.204:22370(内网环境)访问和发布。
实验方式:
分别采用直连模式发布、路由模式发布(过防火墙发布)两种方式,均映射和开放相同的22370、22345端口,测试应用发布和访问结果。
直连模式发布:宿主PC网卡1和服务器网卡1能互通的环境下,宿主PC的IP:192.168.171.50,直接连接发布到服务器的IP:192.168.171.104,端口:22370,不进行路由
路由模式发布:生产环境,宿主PC与防火墙网卡1的IP在同一个网段(192.168.171.0),防火墙网卡2与服务器网卡2在同一个网段(192.168.150.0),关闭服务器网卡1(192.168.171.104),服务器不能直接与宿主PC通信,所有访问和流量需要通过防火墙检测以确保安全。
防火墙配置:防火墙新建站点,将指向防火墙IP:192.168.170.100和端口22370、22345的通信全部转发给服务器的192.168.150.204和端口22370、22345,关闭防火墙所有防护模块。
实验结果: 一、直连模式发布 1、不关闭服务器网卡1(192.168.171.100,外网网卡) 发布方式:宿主PC发布时直接连接到服务器网卡1的IP:192.168.171.104,端口:22370,发布成功 发布使用IP:192.168.171.104(服务器IP) 访问方式(外网连通情况下): 通过服务器外网网卡1的IP访问前端(后端):192.168.171.104:22370、192.168.171.104:22345,访问成功,业务正常。此时链路为直通,防火墙无法监测数据安全。 通过防火墙外网网卡1的IP访问前端(后端):192.168.171.100:22370、192.168.171.100:22345,访问成功,业务正常。此时访问链路为192.168.171.100经防火墙路由后跳转到192.168.150.204,防火墙能监测到数据并防范模拟攻击,前后端访问均正常;
2、关闭服务器网卡1,所有外部访问经防火墙检测后路由到服务器内网网卡2(192.168.150.204,内网网卡) 访问方式2:(模拟生产环境情况下,关闭服务器与外网连接的网卡1,即服务器只使用内网环境) 通过服务器IP:192.168.171.104访问,端口22370和22345,无法连接到服务器前端和后端,证明服务器与外网环境物理隔离。 通过防火墙IP:192.168.171.100访问,端口22370和22345,访问成功,业务正常。证明服务器是独立的内网环境,符合安全合规要求。此时访问链路为192.168.171.100经防火墙路由后跳转到192.168.150.204,防火墙能监测到数据并防范模拟攻击,前后端访问均正常。
二、路由模式发布 关闭服务器网卡1(外网环境),模拟生产环境,服务器网卡2只在内网环境下;防火墙可同时连接外网环境和内网环境,所有到达服务器的数据均需要经过防火安全检测。 发布方式:宿主PC发布时需要通过防火墙外网网网卡1的IP:192.168.171.100和端口:22370,经路由后连接到服务器内网网卡2的IP192.168.150.204和端口22370进行发布。 发布使用IP:192.168.171.100(防火培IP),端口和前边一样没有改动。 所有设置配置不本,除IP外,端口均相同。 发布结果:发布失败,提示无法连接到服务器。 测试链接:
发布测试:
防火墙配置:关闭全部防护功能,只开启代理,关闭系统防火墙和SELinux 访问情况:虽然不能发布和更新应用,但访问前端和后端均没有问题,业务正常,访问时和前边的实验一样使用192.168.171.100:22370和22345。 结果分析:访问正常,说明端口和路由均正常;发布不成功,怀疑发布时是不是有其他限制或使用了隐藏端口,也或许发布的IP不允许跳转? 结论:等官方Linux下的离线发布功能吧,生产环境如果打通外网环境,那防火墙就没有必要了,等于服务器在裸奔。 提醒:建议有需要的小伙伴还是搞个防火墙吧,虽然我是在虚拟环境下测试,还没搞出可用的系统来,但防火墙也拦截到不少的攻击,而且攻击来源IP地址99%都来自于国外。有钱就上专业的防火墙和等保系统,没钱搞个社区版免费的防火墙求个阿弥陀佛。
=====================================
最后附上日志:
页:
[1]