集成Imperva Cloud WAF/DDoS服务以处理面向互联网的RPF流量

本文讨论如何将Imperva WAF/DDoS保护服务与位于Cato站点后面的面向互联网的公共资源集成。

概述

Cato的远程端口转发(RPF)主要设计用于通过允许列表方法向已知企业用户公开企业资源。 这意味着您可以将企业资源限制为允许连接的特定IP地址,否则流量将被阻止。

有时,需要为未知用户提供访问权限,并通过RPF在互联网公开的情况下公开站点后面的内部服务器。 这会产生潜在的安全风险,因为您允许公开访问内部资源。 本文解释了如何配置Imperva Cloud服务以在站点前提供WAF和DDoS保护,以确保RPF流量的安全。

Incapsula Cloud WAF/DDoS与RPF的图示

网络图_-_RPF.png

集成Imperva DDoS解决方案以保护RPF流量

本部分解释如何配置RPF资源以仅允许Imperva Cloud WAF/DDoS访问。 这为您在公共互联网上提供的资源增添了重要的安全层。

在CMA中定义RPF规则

使用Cato管理应用程序(CMA)定义允许列表RPF规则,将流量转发到Imperva Cloud WAF。 该规则的流量来源基于公共Imperva IP范围

为每个数据中心和由Imperva Cloud保护的主机创建一个单独的规则。

Cato云中的安全堆栈不会对入站RPF流量执行TLS检查

sample_imperva_rule.png

要定义转发流量到Imperva Cloud的允许列表RPF规则:

  1. 在导航菜单中,点击安全性 > 远程端口转发

    远程端口转发页面将打开到您现有的未发布修订版本或最新的已发布修订版本。

  2. 使用以下设置创建一个新的RPF规则:

    • 外部IP外部端口范围用于Cato公共IP(对每个公共IP使用单独的规则)

    • 内部IP内部端口范围用于内部主机或资源

    • 流量类型允许列表

    • 流量来源是公共Imperva IP地址范围

  3. 点击保存然后发布

  4. 发布修订版确认窗口中,点击发布。 您的修订已应用于账户策略。

定义Imperva Cloud WAF以保护RPF资源

在Imperva管理控制台中,您可以使用以下选项之一自动创建站点记录:

要集成第三方安全服务以保护RPF流量:

  1. 使用您希望保护的站点的完全限定域名 (FQDN)(www.your-website.com),在Imperva Cloud WAF管理控制台中创建站点记录。

  2. 配置SSL 为您的站点利用Imperva提供的GlobalSign SSL证书,或上传自定义SSL证书。

  3. 获取Imperva提供的CNAME用于您的站点记录。

  4. 将RPF规则中使用的Cato分配的公共IP地址添加为Imperva Cloud WAF中的源服务器条目,并选择负载平衡选项。

  5. 在DNS提供商中,配置域名以将流量转发到第3步中的Incapsula CNAME。

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论