找回密码
 立即注册

QQ登录

只需一步,快速开始

scliudong

高级会员

29

主题

174

帖子

1275

积分

高级会员

积分
1275
scliudong
高级会员   /  发表于:2024-7-9 18:21  /   查看:993  /  回复:3
1金币
用虚拟机测试,在活字格服务端前边加一个雷池WAF防火墙后,发布时连不上服务端,关掉WAF又没问题

有没有搞过的朋友?讨点经验。
规划方案是这样的:

测试方案是在虚拟机中建一个专网来连接服务器,用宿主机模拟办公网环境来发布应用
访问前端后端都没问题,测试WAF也能监控流量,就是发布不行,发布时用的端口也开了
关掉防火墙就没问题
附件: 您需要 登录 才可以下载或查看,没有帐号?立即注册

最佳答案

查看完整内容

收到,感谢大佬分享的对接过程,这边看到您的结论是期望支持Linux环境下的离线发布功能,这个需求目前已经提交开发,后面有进展会这个帖子里给您反馈

3 个回复

正序浏览
scliudong
高级会员   /  发表于:2024-7-12 21:09:10
3#
本帖最后由 scliudong 于 2024-7-12 21:27 编辑
Shawn.Liu 发表于 2024-7-11 17:55
大佬,这个防火墙还没有使用过,如果开启之后无法发布,请教下是测试连接也无法连接还是在发布过程中提示发 ...

抱歉,近期又是安全检查,这两天在忙其他的。
下午抽空整理了一下实验环境,将实验过程发上来看能不能用上。
============================
    测试说明:在宿主PC上安装两个虚拟机(Hyper-V),均使用openEuler服务器操作系统,一台安装雷池WAF社区版防火墙,一台安装活字格服务端,均配置为双网卡。
    宿主PC IP:192.168.171.50
    业务端口:应用Web访问和发布端口:22370,后台服务端口:22345,所有环境设备均开放以上两个端口
    WAF防火墙IP1:192.168.171.100(模拟外网),IP2:192.168.150.200(模拟内网),开放端口:22370、22350
    活字格服务器IP1:192.168.171.104(模拟外网),IP2:192.168.150.204(模拟内网),开放端口:22370、22350
    实验目的:正式环境服务器在防火培后面,所以需要通过防火墙192.168.171.100:22370(外网环境路由后跳转到192.168.150.204:22370(内网环境)访问和发布。

    实验方式:
    分别采用直连模式发布、路由模式发布(过防火墙发布)两种方式,均映射和开放相同的22370、22345端口,测试应用发布和访问结果。
    直连模式发布:宿主PC网卡1和服务器网卡1能互通的环境下,宿主PC的IP:192.168.171.50,直接连接发布到服务器的IP:192.168.171.104,端口:22370,不进行路由
    路由模式发布:生产环境,宿主PC与防火墙网卡1的IP在同一个网段(192.168.171.0),防火墙网卡2与服务器网卡2在同一个网段(192.168.150.0),关闭服务器网卡1(192.168.171.104),服务器不能直接与宿主PC通信,所有访问和流量需要通过防火墙检测以确保安全。
    防火墙配置:防火墙新建站点,将指向防火墙IP:192.168.170.100和端口22370、22345的通信全部转发给服务器的192.168.150.204和端口22370、22345,关闭防火墙所有防护模块。


    实验结果:
    一、直连模式发布
    1、不关闭服务器网卡1(192.168.171.100,外网网卡)
    发布方式:宿主PC发布时直接连接到服务器网卡1的IP:192.168.171.104,端口:22370,发布成功
    发布使用IP:192.168.171.104(服务器IP)
    访问方式(外网连通情况下):
    通过服务器外网网卡1的IP访问前端(后端):192.168.171.104:22370、192.168.171.104:22345,访问成功,业务正常。此时链路为直通,防火墙无法监测数据安全。
    通过防火墙外网网卡1的IP访问前端(后端):192.168.171.100:22370、192.168.171.100:22345,访问成功,业务正常。此时访问链路为192.168.171.100经防火墙路由后跳转到192.168.150.204,防火墙能监测到数据并防范模拟攻击,前后端访问均正常;

    2、关闭服务器网卡1,所有外部访问经防火墙检测后路由到服务器内网网卡2(192.168.150.204,内网网卡)
    访问方式2:(模拟生产环境情况下,关闭服务器与外网连接的网卡1,即服务器只使用内网环境)
    通过服务器IP:192.168.171.104访问,端口22370和22345,无法连接到服务器前端和后端,证明服务器与外网环境物理隔离。
    通过防火墙IP:192.168.171.100访问,端口22370和22345,访问成功,业务正常。证明服务器是独立的内网环境,符合安全合规要求。此时访问链路为192.168.171.100经防火墙路由后跳转到192.168.150.204,防火墙能监测到数据并防范模拟攻击,前后端访问均正常。

    二、路由模式发布
    关闭服务器网卡1(外网环境),模拟生产环境,服务器网卡2只在内网环境下;防火墙可同时连接外网环境和内网环境,所有到达服务器的数据均需要经过防火安全检测。
    发布方式:宿主PC发布时需要通过防火墙外网网网卡1的IP:192.168.171.100和端口:22370,经路由后连接到服务器内网网卡2的IP192.168.150.204和端口22370进行发布。
    发布使用IP:192.168.171.100(防火培IP),端口和前边一样没有改动。
    所有设置配置不本,除IP外,端口均相同。
    发布结果:发布失败,提示无法连接到服务器。
    测试链接:

    发布测试:
    防火墙配置:关闭全部防护功能,只开启代理,关闭系统防火墙和SELinux
    访问情况:虽然不能发布和更新应用,但访问前端和后端均没有问题,业务正常,访问时和前边的实验一样使用192.168.171.100:22370和22345。
    结果分析:访问正常,说明端口和路由均正常;发布不成功,怀疑发布时是不是有其他限制或使用了隐藏端口,也或许发布的IP不允许跳转?
    结论:等官方Linux下的离线发布功能吧,生产环境如果打通外网环境,那防火墙就没有必要了,等于服务器在裸奔。
    提醒:建议有需要的小伙伴还是搞个防火墙吧,虽然我是在虚拟环境下测试,还没搞出可用的系统来,但防火墙也拦截到不少的攻击,而且攻击来源IP地址99%都来自于国外。有钱就上专业的防火墙和等保系统,没钱搞个社区版免费的防火墙求个阿弥陀佛。

=====================================
最后附上日志:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复 使用道具 举报
Shawn.Liu活字格认证
超级版主   /  发表于:2024-7-11 17:55:24
2#
大佬,这个防火墙还没有使用过,如果开启之后无法发布,请教下是测试连接也无法连接还是在发布过程中提示发布失败的,如果是后者可以收集下您设计器和服务器日志这边调查下

一看就会,超有用活字格技能:四十五,错误日志收集功能
https://gcdn.grapecity.com.cn/showtopic-52854-1-1.html
(出处: 葡萄城开发者社区)
回复 使用道具 举报
最佳答案
最佳答案
Shawn.Liu活字格认证
超级版主   /  发表于:2024-7-9 18:21:54
来自 4#
收到,感谢大佬分享的对接过程,这边看到您的结论是期望支持Linux环境下的离线发布功能,这个需求目前已经提交开发,后面有进展会这个帖子里给您反馈
回复 使用道具 举报
您需要登录后才可以回帖 登录 | 立即注册
返回顶部