找回密码
 立即注册

QQ登录

只需一步,快速开始

首页 活字格专区 求助中心 查看内容
发新帖

scliudong

高级会员

28

主题

168

帖子

1248

积分

高级会员

积分
1248
最新发帖

[已处理] 有没有在服务前边装雷池WAF的?能搞通吗?

scliudong
高级会员   /  发表于:2024-7-9 18:21  /   查看:610  /  回复:3
1金币
用虚拟机测试,在活字格服务端前边加一个雷池WAF防火墙后,发布时连不上服务端,关掉WAF又没问题

有没有搞过的朋友?讨点经验。
规划方案是这样的:

测试方案是在虚拟机中建一个专网来连接服务器,用宿主机模拟办公网环境来发布应用
访问前端后端都没问题,测试WAF也能监控流量,就是发布不行,发布时用的端口也开了
关掉防火墙就没问题
附件: 您需要 登录 才可以下载或查看,没有帐号?立即注册

最佳答案

Shawn.Liu

查看完整内容

收到,感谢大佬分享的对接过程,这边看到您的结论是期望支持Linux环境下的离线发布功能,这个需求目前已经提交开发,后面有进展会这个帖子里给您反馈

3 个回复

倒序浏览
最佳答案
最佳答案
Shawn.Liu活字格认证
超级版主   /  发表于:2024-7-9 18:21:54
来自 4#
收到,感谢大佬分享的对接过程,这边看到您的结论是期望支持Linux环境下的离线发布功能,这个需求目前已经提交开发,后面有进展会这个帖子里给您反馈
回复 使用道具 举报
Shawn.Liu活字格认证
超级版主   /  发表于:2024-7-11 17:55:24
2#
大佬,这个防火墙还没有使用过,如果开启之后无法发布,请教下是测试连接也无法连接还是在发布过程中提示发布失败的,如果是后者可以收集下您设计器和服务器日志这边调查下

一看就会,超有用活字格技能:四十五,错误日志收集功能
https://gcdn.grapecity.com.cn/showtopic-52854-1-1.html
(出处: 葡萄城开发者社区)
回复 使用道具 举报
scliudong
高级会员   /  发表于:2024-7-12 21:09:10
3#
本帖最后由 scliudong 于 2024-7-12 21:27 编辑
Shawn.Liu 发表于 2024-7-11 17:55
大佬,这个防火墙还没有使用过,如果开启之后无法发布,请教下是测试连接也无法连接还是在发布过程中提示发 ...

抱歉,近期又是安全检查,这两天在忙其他的。
下午抽空整理了一下实验环境,将实验过程发上来看能不能用上。
============================
    测试说明:在宿主PC上安装两个虚拟机(Hyper-V),均使用openEuler服务器操作系统,一台安装雷池WAF社区版防火墙,一台安装活字格服务端,均配置为双网卡。
    宿主PC IP:192.168.171.50
    业务端口:应用Web访问和发布端口:22370,后台服务端口:22345,所有环境设备均开放以上两个端口
    WAF防火墙IP1:192.168.171.100(模拟外网),IP2:192.168.150.200(模拟内网),开放端口:22370、22350
    活字格服务器IP1:192.168.171.104(模拟外网),IP2:192.168.150.204(模拟内网),开放端口:22370、22350
    实验目的:正式环境服务器在防火培后面,所以需要通过防火墙192.168.171.100:22370(外网环境路由后跳转到192.168.150.204:22370(内网环境)访问和发布。

    实验方式:
    分别采用直连模式发布、路由模式发布(过防火墙发布)两种方式,均映射和开放相同的22370、22345端口,测试应用发布和访问结果。
    直连模式发布:宿主PC网卡1和服务器网卡1能互通的环境下,宿主PC的IP:192.168.171.50,直接连接发布到服务器的IP:192.168.171.104,端口:22370,不进行路由
    路由模式发布:生产环境,宿主PC与防火墙网卡1的IP在同一个网段(192.168.171.0),防火墙网卡2与服务器网卡2在同一个网段(192.168.150.0),关闭服务器网卡1(192.168.171.104),服务器不能直接与宿主PC通信,所有访问和流量需要通过防火墙检测以确保安全。
    防火墙配置:防火墙新建站点,将指向防火墙IP:192.168.170.100和端口22370、22345的通信全部转发给服务器的192.168.150.204和端口22370、22345,关闭防火墙所有防护模块。


    实验结果:
    一、直连模式发布
    1、不关闭服务器网卡1(192.168.171.100,外网网卡)
    发布方式:宿主PC发布时直接连接到服务器网卡1的IP:192.168.171.104,端口:22370,发布成功
    发布使用IP:192.168.171.104(服务器IP)
    访问方式(外网连通情况下):
    通过服务器外网网卡1的IP访问前端(后端):192.168.171.104:22370、192.168.171.104:22345,访问成功,业务正常。此时链路为直通,防火墙无法监测数据安全。
    通过防火墙外网网卡1的IP访问前端(后端):192.168.171.100:22370、192.168.171.100:22345,访问成功,业务正常。此时访问链路为192.168.171.100经防火墙路由后跳转到192.168.150.204,防火墙能监测到数据并防范模拟攻击,前后端访问均正常;

    2、关闭服务器网卡1,所有外部访问经防火墙检测后路由到服务器内网网卡2(192.168.150.204,内网网卡)
    访问方式2:(模拟生产环境情况下,关闭服务器与外网连接的网卡1,即服务器只使用内网环境)
    通过服务器IP:192.168.171.104访问,端口22370和22345,无法连接到服务器前端和后端,证明服务器与外网环境物理隔离。
    通过防火墙IP:192.168.171.100访问,端口22370和22345,访问成功,业务正常。证明服务器是独立的内网环境,符合安全合规要求。此时访问链路为192.168.171.100经防火墙路由后跳转到192.168.150.204,防火墙能监测到数据并防范模拟攻击,前后端访问均正常。

    二、路由模式发布
    关闭服务器网卡1(外网环境),模拟生产环境,服务器网卡2只在内网环境下;防火墙可同时连接外网环境和内网环境,所有到达服务器的数据均需要经过防火安全检测。
    发布方式:宿主PC发布时需要通过防火墙外网网网卡1的IP:192.168.171.100和端口:22370,经路由后连接到服务器内网网卡2的IP192.168.150.204和端口22370进行发布。
    发布使用IP:192.168.171.100(防火培IP),端口和前边一样没有改动。
    所有设置配置不本,除IP外,端口均相同。
    发布结果:发布失败,提示无法连接到服务器。
    测试链接:

    发布测试:
    防火墙配置:关闭全部防护功能,只开启代理,关闭系统防火墙和SELinux
    访问情况:虽然不能发布和更新应用,但访问前端和后端均没有问题,业务正常,访问时和前边的实验一样使用192.168.171.100:22370和22345。
    结果分析:访问正常,说明端口和路由均正常;发布不成功,怀疑发布时是不是有其他限制或使用了隐藏端口,也或许发布的IP不允许跳转?
    结论:等官方Linux下的离线发布功能吧,生产环境如果打通外网环境,那防火墙就没有必要了,等于服务器在裸奔。
    提醒:建议有需要的小伙伴还是搞个防火墙吧,虽然我是在虚拟环境下测试,还没搞出可用的系统来,但防火墙也拦截到不少的攻击,而且攻击来源IP地址99%都来自于国外。有钱就上专业的防火墙和等保系统,没钱搞个社区版免费的防火墙求个阿弥陀佛。

=====================================
最后附上日志:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复 使用道具 举报
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册
产品与服务
活字格低代码平台
Wyn 商业智能软件
SpreadJS纯前端表格控件
技术服务体系
技术博客
低代码技术
客户与案例
典型客户
成功案例
用户访谈
合作与生态
合作伙伴网络
葡萄城市场
葡萄城与国产化
活字格用友客开工具
品牌活动
葡萄城公开课
品牌战略发布会
赋能开发者高峰论坛
企业级低代码发展研讨会
企业级低代码应用大赛
表格技术研讨会
了解葡萄城
葡萄城简介
愿景使命
研发与创新
荣誉奖项
加入我们
联系方式
联系我们
400-657-6008

葡萄城社区二维码

关注“葡萄城社区”

赋能开发者

西安葡萄城软件有限公司
专业的软件开发技术和低代码平台提供商

陕ICP备2020018819号  |   陕公网安备:61019002000258  |   隐私政策  |   网站地图  

邮箱: info.xa@grapecity.com  |  © 2024 葡萄城软件,保留所有权利

Archiver| 手机版| 小黑屋|

返回顶部