Подробный гайд: Настройка перенаправления потоков трафика в WAF Dallas Lock

Гайд по настройке WAF Dallas Lock: перенаправление трафика, балансировка, SSL-терминация и URL-rewriting для защиты веб-приложений.

2026.06.02 #WAF #Dallas Lock #информационная безопасность #кибербезопасность #сети #защита от DDoS #веб-безопасность

Подробный гайд: Настройка перенаправления потоков трафика в WAF Dallas Lock Настройка перенаправления потоков (маршрутизации и редиректа трафика) в WAF Dallas Lock — это ключевой этап интеграции веб-приложений под защиту.

Под «перенаправлением потоков» в контексте WAF обычно понимают два аспекта:

Сетевое перенаправление: как трафик направляется на сам WAF.
Логическое перенаправление (внутри WAF): как WAF распределяет входящие запросы по бэкенд-серверам, а также HTTP-редиректы и URL-rewriting.

Ниже представлен подробный технический гайд по настройке этих процессов в экосистеме Dallas Lock WAF.

1. Выбор режима работы (Сетевое перенаправление)

Перед настройкой правил внутри WAF необходимо определить, как сетевой трафик будет попадать на его интерфейсы. В Dallas Lock WAF поддерживаются следующие архитектуры:

A. Прозрачный режим (Transparent / Inline)

WAF внедряется в разрыв сетевого канала (L2/L3).
- Настройка сети: Используется Policy-Based Routing (PBR) на маршрутизаторах или настройка ECMP/WCCP, чтобы перенаправить потоки на физический или логический интерфейс WAF.
- Плюсы: Не требует изменения DNS и IP-адресации приложений.
- Минусы: Сложность в настройке сети, риск разрыва соединений при падении WAF (требует настройки bypass).

Б. Режим зеркалирования (Out-of-band / SPAN)

Трафик только анализируется, активного перенаправления потоков через WAF нет. Используется исключительно для аудита и обучения моделей.

2. Настройка базового перенаправления на бэкенд

Это основной сценарий: WAF принимает запрос и перенаправляет его на защищаемый веб-сервер.

Шаг 2.1. Создание Виртуального сервера (Frontend)

Перейдите в раздел Ресурсы -> Виртуальные серверы (или Веб-приложения, в зависимости от версии UI).

2. Создайте новый объект:

IP-адрес и порт: Укажите VIP WAF (например, 192.168.1.10:443).
Протокол: HTTPS (если планируется терминация SSL) или HTTP.

Сохраните конфигурацию.

Шаг 2.2. Настройка Пула бэкендов (Backend)

Перейдите в раздел Бэкенды (или Серверы приложений).

2. Создайте пул и добавьте в него реальные серверы:

IP-адрес и порт: Реальный IP вашего веб-сервера (например, 10.0.0.5:8080).
Алгоритм балансировки: Round Robin, Least Connections, IP Hash и т.д.

Health Checks (Проверки доступности): Критически важно! Настройте HTTP/HTTPS health check (например, запрос GET /health с ожиданием кода 200 OK). Это позволит WAF автоматически исключать «упавшие» ноды из перенаправления.

Шаг 2.3. Связывание Frontend и Backend

В настройках Виртуального сервера (Frontend) выберите созданный Пул бэкендов в качестве цели (Default Pool / Target).

3. Продвинутое перенаправление потоков (Маршрутизация и Rewrites)

Dallas Lock WAF позволяет гибко управлять потоками на уровне HTTP/URI.

3.1. Правила маршрутизации (Routing Policies)

Если на одном VIP-адресе WAF висит несколько приложений, нужно перенаправлять потоки в разные бэкенды.
1. Перейдите в Правила маршрутизации (Routing Rules).

2. Создайте условия (Conditions):

По заголовку Host (например, app1.company.ru -> Пул 1, app2.company.ru -> Пул 2).
По URI (например, запросы к /api/ идут в бэкенд API, а к /web/ — в бэкенд фронтенда).

Примените правила к Виртуальному серверу.

3.2. HTTP-редиректы (HTTP Redirects)

Частая задача — перенаправить весь HTTP-трафик на HTTPS.
1. На Виртуальном сервере, слушающем порт 80, выберите действие HTTP Redirect.
2. Укажите шаблон: https://%{Host}%{URI}.
3. Выберите код ответа: 301 Moved Permanently (для SEO) или 302 Found.

3.3. Переписывание URL (URL Rewrite)

Иногда бэкенд-сервер ожидает другие пути, чем запрашивает клиент.
1. В настройках Виртуального сервера или Правила маршрутизации найдите раздел URL Rewrite.

2. Настройте правило (Regex или String replacement):

Запрос клиента: GET /old-app/login
Правило: Заменить /old-app на /v2/new-app
Запрос к бэкенду: GET /v2/new-app/login

4. Работа с SSL/TLS при перенаправлении

При перенаправлении HTTPS-трафика необходимо выбрать стратегию работы с сертификатами:

1. SSL Offloading (Терминация SSL):

WAF расшифровывает трафик, проверяет его на уровне HTTP (инспекция контента, OWASP Top 10), и перенаправляет на бэкенд по HTTP (или HTTPS без проверки сертификата бэкенда).
Настройка: Загрузите сертификат и ключ в WAF. В настройках бэкенда укажите порт 80.

2. SSL Bridging (Сквозное шифрование):

WAF расшифровывает трафик для инспекции, а затем повторно шифрует его перед отправкой на бэкенд.
Настройка: В настройках пула бэкендов включите HTTPS и загрузите сертификат бэкенда (или отключите проверку, если используется самоподписанный сертификат), чтобы WAF мог установить защищенное соединение с backend.

5. Перенаправление потоков для защиты от DDoS и Rate Limiting

В Dallas Lock WAF перенаправление может динамически меняться в целях безопасности:

Rate Limiting (Ограничение запросов): Настройте лимиты (например, 100 req/s с одного IP). При превышении поток не перенаправляется на бэкенд, а сбрасывается или перенаправляется на страницу-заглушку (Custom Response / JS Challenge).
Geo-IP Redirection: Настройте правила, чтобы трафик из нецелевых стран перенаправлялся на страницу 403 Forbidden или на отдельный «карантинный» бэкенд.

6. Диагностика и логирование

Чтобы убедиться, что потоки перенаправляются корректно:

Журналы доступа (Access Logs): Проверьте статус-коды ответов. Коды 502 Bad Gateway или 504 Gateway Timeout указывают на проблемы с сетевым перенаправлением на бэкенд (фильтры, неверный порт, бэкенд не отвечает).
Заголовки (Headers): Убедитесь, что WAF добавляет заголовок X-Forwarded-For (для передачи реального IP клиента на бэкенд) и X-Forwarded-Proto (чтобы бэкенд понимал, что клиент общался по HTTPS).
Сетевые утилиты: Если используется прозрачный режим, используйте tcpdump на интерфейсах WAF, чтобы убедиться, что пакеты физически доходят до устройства.