Интеграция облачных услуг Imperva WAF/DDoS для RPF-трафика, выходящего в Интернет

Эта статья обсуждает, как интегрировать сервис защиты WAF/DDoS компании Imperva с публичным ресурсом, выходящим в Интернет, находящимся за сайтом Cato.

Обзор

Удаленная переадресация портов (RPF) Cato в первую очередь предназначена для предоставления корпоративных ресурсов известным корпоративным пользователям с помощью подхода с разрешенным списком. Это означает, что вы можете ограничить ресурс для конкретных IP-адресов, которым разрешено подключение, в противном случае трафик блокируется.

Иногда необходимо предоставить доступ неизвестным пользователям и открыть внутренний сервер, находящийся за сайтом, через RPF публично через Интернет. Это создает потенциальный риск безопасности, поскольку вы позволяете публичный доступ к внутренним ресурсам. Эта статья объясняет, как настроить облачный сервис Imperva для обеспечения защиты WAF и DDoS перед сайтом для безопасности RPF-трафика.

Диаграмма Incapsula Cloud WAF/DDoS с RPF

Схема_Сети_-_RPF.png

Интеграция решения Imperva DDoS для обеспечения безопасности RPF-трафика

Этот раздел объясняет, как настроить ресурс RPF, чтобы только облачные WAF/DDoS от Imperva могли получить к нему доступ. Это добавляет значительный уровень безопасности ресурсу, который вы делаете доступным через публичный Интернет.

Определение правила RPF в CMA

Используйте Приложение Управления Cato (CMA) для определения правила RPF с разрешенным списком, чтобы перенаправить трафик в облачный WAF Imperva. Источники трафика для правила основаны на публичных диапазонах IP-адресов Imperva.

Создайте отдельное правило для каждого дата-центра и хоста, которые защищены облаком Imperva.

Стек безопасности в облаке Cato не выполняет инспекцию TLS на входящем RPF трафике

sample_imperva_rule.png

Чтобы определить правило RPF с разрешенным списком, которое перенаправляет трафик в облако Imperva:

  1. В меню навигации кликните Безопасность > Удаленная переадресация портов.

    Страница Удаленной переадресации портов открывается на вашей существующей неопубликованной ревизии или на новейшей опубликованной ревизии.

  2. Создайте новое правило RPF с такими настройками:

    • Внешний IP и Диапазон внешних портов для публичных IP-адресов Cato (используйте отдельные правила для каждого публичного IP-адреса)

    • Внутренний IP и Диапазон внутренних портов для внутреннего хоста или ресурса

    • Тип трафика - Разрешенный список

    • Источники трафика - диапазон публичных IP-адресов Imperva

  3. Кликните Сохранить, затем Опубликовать.

  4. В окне подтверждения Опубликовать Ревизию кликните Опубликовать. Ваша ревизия применена к политике аккаунта.

Определение Imperva Cloud WAF для защиты ресурса RPF

В консоли управления Imperva вы можете использовать один из этих вариантов для автоматизации создания записей сайта:

Чтобы интегрировать стороннюю службу безопасности для трафика RPF:

  1. Создайте запись сайта в консоли управления Imperva Cloud WAF, используя полное доменное имя (FQDN) сайта, который вы хотите защитить.

  2. Настройте SSL для вашего сайта, используя предоставленную Imperva форму сертификата GlobalSign SSL, или загрузите пользовательский SSL-сертификат.

  3. Получите предоставленный Imperva CNAME для записи вашего сайта.

  4. Добавьте выделенные публичные IP-адреса, использованные в правилах RPF выше, как записи сервера источника в Imperva Cloud WAF, и выберите вариант балансировки нагрузки.

  5. В DNS-провайдере настройте домен для перенаправления трафика на CNAME Incapsula на шаге 3.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев