Datapower - использует WAF прямо здесь?

Question

Вот базовый сценарий:

У меня есть набор внутренних машин без публичных ips. Я хочу на фронт что-то в DMZ с открытым IP-адресом, а затем пересылать данные с помощью http (и websocket) на внутренние машины. Я понимаю, что это может быть базовое использование DataPower, но у меня есть доступ к XI52 и играю с ним.

Я полный новичок на DP, но мне удалось настроить веб-приложения брандмауэр, который будет передний внутреннего IP: порт на DP коробки общественного IP: другой порт.

Однако, похоже, это не позволяет подключать к сети. Исследования показывают, что мой ящик V7 может создавать веб-порты, но я могу видеть только параметры при настройке обработчика сторонних сторон http, который доступен только AFAK, если я настраиваю шлюз с несколькими протоколами.

Итак - несколько вопросов:

1 - Можете ли вы позволить WebSockets для WAF 2 - использует WAF даже правильный вызов здесь - как я буду добавлять в новые внутренние машины - создать новый WAF каждый добавлено время?

Любые мысли высоко оценили,

Sam R

Answer 1

поддержка WebSocket действительно введена с v7 прошивки DataPower. У меня нет устройства v7, доступного для подтверждения, но я понимаю, что с 7.0 года вы настраиваете многопротокольный шлюз с обработчиком сторонних сторон http и указываете, что разрешено обновление http для веб-сокета. С этого момента DP просто проксирует трафик на сконфигурированный бэкэнд.

Я не знаю, поддерживает ли WAF обновление веб-гнезда под 7.0, но его должно быть легко проверить. В версии 7.1 поддержка WAF значительно меняется - поддержка ISAM эффективно сканируется в прошивку - см. http://www-01.ibm.com/common/ssi/cgi-bin/ssialias?infotype=AN&subtype=CA&htmlfid=897/ENUS214-394&appname=USN.

Я думаю, что с помощью DP-сервиса трафик веб-сокета - это нормально , если DP заполняет пробел или добавляет значение, выполняя некоторые другие функции, такие как завершение TLS или аутентификация клиента (то есть проверка пароля). В противном случае это немного похоже на убийство мухи с базукой.