首页 > 其他分享 >FortiWeb 策略数量限制解决方案

FortiWeb 策略数量限制解决方案

时间:2022-12-21 15:31:42浏览次数:76  
标签:index FortiWeb http 策略 解决方案 html proxy com addr

1.背景

由于我司 FortiWeb设备 安全防护策略有数量的限制,只允许新建256条策略,对我司根据每一个二级域名匹配一条安全策略是远远不够的。​​https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiWeb.pdf​

公司所有业务系统绑定二级域名已达500余个,为了让业务系统能得到安全的保障,因此我们需要解决策略数量的限制。

2.架构图

FortiWeb 策略数量限制解决方案_FortiWEB

3.可行性

3.1.查阅后端负载对应业务系统访问日志

访问:​​https://wiki.XXXX.com.cn​

FortiWeb 策略数量限制解决方案_FortiWEB_02

访问:https://dg.XXX.com.cn

FortiWeb 策略数量限制解决方案_waf_03

4.安全性

4.1.验证拦截功能

访问:https://dg.XXX.com.cn

sql注入语句:
?id=2' and 1=2 union select 1,table_name,3 from information_schema.tables where table_schema=database() limit 0,1

4.2.拦截结果

FortiWeb 策略数量限制解决方案_FortiWEB_04

5.结论

由于以上结果可见,整个业务流程是可以跑通的,并且业务系统也能得到FortiWeb有效的防护。

6.参考内容

6.1.二级代理服务器日志配置

日志格式增加“http_x_forwarded_for”的变量内容,解决(避免)无法取到实际访问者的外网 IP 的情况(经过2级代理后默认的代理服务器日志仅记录上级服务器的地址,例如 WAF 设备地址)。

log_format main '{"@timestamp":"$time_iso8601",'
        '"host":"$server_addr",'
        '"clientip":"$remote_addr",'
        '"size":$body_bytes_sent,'
        '"responsetime":$request_time,'
        '"upstreamtime":"$upstream_response_time",'
        '"upstreamhost":"$upstream_addr",'
        '"http_host":"$host",'
        '"uri":"$uri",'
        '"domain":"$host",'
        '"xff":"$http_x_forwarded_for",'
        '"referer":"$http_referer",'
        '"tcp_xff":"$proxy_protocol_addr",'
        '"http_user_agent":"$http_user_agent",'
        '"status":"$status"}';

6.2.二级代理服务器基础配置

由于一级代理已实现 SSL 证书的解析,2级代理无需增加 SSL 证书的配置和内容

upstream wiki443.xxx.com.cn {
server 192.168.5.101:8090;
keepalive 6000;
    }

server
{
    listen 80;
    server_name wiki.XXX.com.cn;
    access_log        /usr/local/nginx/logs/wiki.access.log  main;
    root html;
    index index.html index.htm;

 location / {
   root html;
   index  index.html index.htm;
   proxy_set_header Host $host;
   proxy_set_header X-Real-IP $remote_addr;
   proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
   proxy_pass http://wiki443.XXX.com.cn;
   proxy_connect_timeout 6000s;
   proxy_send_timeout 6000s;
   proxy_read_timeout 6000s;
   proxy_buffer_size 64k;
   proxy_buffers   4 64k;
   proxy_busy_buffers_size 128k;
   proxy_temp_file_write_size 128k;
   proxy_http_version 1.1;
   proxy_set_header Connection "";
   }
   error_page  404   /50x.html;
   error_page   500 502 503 504  /50x.html;
   location = /50x.html {
      root   html;
 }


标签:index,FortiWeb,http,策略,解决方案,html,proxy,com,addr
From: https://blog.51cto.com/waringid/5959938

相关文章

  • RFID物资管理系统解决方案-RFID智慧物资管理-杭州东识科技
    1.1项目背景市场竞争日益激烈,提高生产效率、降低运营成本,对于企业来说至关重要。目前,仓储管理系统通常使用条码标签或是人工仓储管理单据等方式支持自有的仓储管理。但是条......
  • 分布式锁解决方案
    需求互斥性:和我们本地锁一样互斥性是最基本,但是分布式锁需要保证在不同节点的不同线程的互斥。可重入性:同一个节点上的同一个线程如果获取了锁之后那么也可以再次获取这......
  • Android Studio Error:Connection timed out: connect.解决方案
      小编把​​Android​​ Studio升级到了2.0版本,但是遇到了这样的错误:Error:Connectiontimedout:connect.IfyouarebehindanHTTPproxy,pleaseconfigureth......
  • 设计模式-策略模式
    概念策略模式是一种行为设计模式就是将一个东西(入参)传到分发中心(上下文或环境类)分发中心根据条件的不同选择不同的处理方式(策略)每一个方式(具体的实现类)对应相应......
  • 《分布式事务系列教程-第四章-XA分布式事务解决方案》
    《分布式事务系列教程-第四章-XA分布式事务解决方案》一、XA解决方案XA是一个分布式事务协议,由Tuxedo提出。XA中大致分为两部分:事务管理器(TM)和资源管理器(RM)。其中资源管理......
  • Linux负载均衡解决方案 -- LVS 理论概述
    Lvs理论概述​​一、什么是LVS?​​​​二、为什么需要LVS?​​​​三、LVS原理​​​​1、LVS体系结构​​​​2、LVS工作模式​​​​3、LVS调度算法​​​​四、L......
  • wordpress如何用m二级域名做手机站解决方案
    用m二级域名做为手机站长,是目前最流行的手机端解决方法,那如果在wordpress程序上实现,并且可以达到数据信息内容共享呢?今天大挖教大家一个高效解决方式,希望可以通过以上的wor......
  • 循环嵌套问题的解决方案
    #循环嵌套问题的解决当一个程序变得复杂时,你不可避免地要写嵌套循环。然而,嵌套循环将使程序更难阅读和维护。幸运的是,在Python中你总是可以通过内置的product()函数......
  • MyBatis原生批量插入的坑与解决方案!
    小知识,大挑战!本文正在参与「程序员必备小知识」创作活动。本文已参与 「掘力星计划」 ,赢取创作大礼包,挑战创作激励金。前面的文章咱们讲了MyBatis批量插入的3种方......
  • HttpClient Timeout waiting for connection from pool 问题解决方案
    错误:org.apache.http.conn.ConnectionPoolTimeoutException:Timeoutwaitingforconnectionfrompool前言:第一次看到这个错误,上网找了下,有文章说是连接池不够了。。。......

赞助商

阅读排行

网站主页关于我们联系我们网站地图

本网站内容转载自其他媒体,侵权联系[admin##ips99.com]。

Copyright © 2020-2023 IPS99 版权所有 IPS99