Наверх

Брандмауэры веб-приложений

Брандмауэры веб-приложений (WAF) — это тип технологии обратного прокси-сервера, работающий на уровне 7 модели OSI (модель открытых систем взаимодействия). Как правило, они реализуются для защиты веб-приложений и веб-сервисов от вредоносного трафика или пользователей. WAF обычно развертывается как аппаратный или программный компонент или как служба, управляемая облаком, и работает в основном как обратный прокси-сервер, иногда в конфигурации 1:1 для серверных систем, а иногда поддерживает несколько серверных систем и несколько IP-адресов или имен хостов внешнего интерфейса.

Примечание:

Этот раздел в целом относится только к развертываниям ArcGIS Enterprise. Несмотря на то, что ArcGIS Online включает функции безопасности, аналогичные описанным в этой статье, не следует использовать развернутый клиентом WAF в качестве внешнего URL-адреса для доступа к ресурсам или ресурсам ArcGIS Online, так как это неподдерживаемый шаблон, который может привести к непредвиденному поведению.

WAF отличаются от обычных обратных прокси тем, что они предназначены для защиты серверного приложения. Они не просто прозрачно передают запросы, они, как правило, имеют логику для проверки запросов, включая URL-адрес запроса, заголовки, исходное местоположение и тело, на наличие вредоносного или потенциально вредоносного содержимого. Большинство WAF реализуют общий набор правил, определенный производителем или сообществом, для выявления распространенных вредоносных попыток, таких как попытки внедрения кода SQL, подделка запросов на стороне сервера (SSRF) или другие типы поведения. WAF также могут подсчитывать и ограничивать количество запросов в определенный период, защищать от распределенных атак типа «отказ в обслуживании» (DoS) и фильтровать трафик для блокировки IP-адресов из определенных регионов или источников. Каждое из этих правил можно включать или отключать отдельно, а сам WAF может применить сотни или тысячи таких правил к защищаемому приложению.

WAF часто имеют два режима настройки,:

  • Режим обнаружения — режим обнаружения обычно позволяет трафику прозрачно проходить через WAF, но регистрирует все запросы, которые активируют правило обнаружения, чтобы администратор мог обратиться к этому списку и определить какие из них могут представлять собой допустимый трафик, и, при необходимости, отключить или настроить это правило, чтобы гарантировать, что допустимые запросы не блокируются.
  • Режим защиты – активно блокирует любые запросы, которые активируют эти правила, возвращая ошибку HTTP или тайм-аут.

Мониторинг входящего трафика

Мониторинг входящего трафика относится к проверке и фильтрации входящих запросов в систему, как из внутренних, так и из внешних источников. Хотя мониторинг входящего трафика может относиться к другим методам или подходам помимо WAF, эти понятия часто тесно взаимосвязаны.

Работа с WAF для доступа к системам ArcGIS

Программное обеспечение ArcGIS опирается на широкий спектр типов HTTP-запросов и ответов, включая GET, POST и OPTIONS, передачу больших объемов данных, специфические заголовки и разные способы аутентификации на основе токенов. Слишком агрессивная настройка WAF способна мешать корректной работе клиентских приложений в развертывании ArcGIS Enterprise.

При внедрении или использовании WAF с развертыванием ArcGIS учитывайте некоторые из следующих рекомендаций:

  • Начните с режима обнаружения с фактическим пользовательским трафиком: Это поможет определить запросы, которые являются действительными (представляющими реальные и полезные действия пользователя), но будут заблокированы WAF, работающим в режиме Защиты.
  • Ознакомьтесь с существующими рекомендациями Esri: Компания Esri подготовила набор предлагаемых настроек правил для продукта Azure WAF, которые можно использовать для выявления других потенциально проблемных правил в других продуктах WAF.
  • Тест, тест, тест: При включении режима защиты протестируйте полный набор рабочих процессов, от публикации до взаимодействия с данными и их загрузки, чтобы определить, какие правила могут быть настроены неправильно. Например, протестируйте длительный синхронный запрос геообработки, чтобы убедиться, что время ожидания системы по умолчанию не слишком короткое.
  • Устранение неполадок с помощью тестирования 1:1: когда запрос блокируется или возвращает ошибку через WAF, сначала протестируйте запрос с помощью HTTP-клиента по внутреннему URL-адресу (за WAF), чтобы убедиться, что это не проблема системы, а затем при необходимости настройте конфигурацию WAF для разрешения запроса.

Esri предоставляет подробный пример совместимости правил WAF на основе предложения Azure WAF , определяя правила или конфигурации, которые могут вызвать проблемы при развертывании ArcGIS и которые следует отключить. Этот документ доступен в ArcGIS Trust Center: Правила фильтрации веб-приложений ArcGIS Enterprise (требуется вход в систему ArcGIS).

Этот пример включает в себя определенные правила от одного конкретного поставщика WAF, но может упростить настройку собственных правил WAF в организации в будущем Также имейте в виду, что определенные функции приложения могут быть заблокированы WAF, и это допустимо, если эти функции не планируется к использованию в системе — в таком случае блокировка не критична. По мере завершения дальнейшего тестирования или проверки WAF на этой странице будут публиковаться дополнительные ресурсы — сейчас представлен только пример с Azure WAF, но он может помочь в правильной настройке аналогичных решений.

Top