Reverse-proxy

Menerbitkan sumber daya web jaringan lokal sehingga dapat diakses konsumen dari Internet.

Teknologi proxy terbalik memungkinkan Anda mem-proxy lalu lintas web dari Internet ke jaringan lokal. Ini berbeda dari DNAT karena beroperasi pada tingkat yang lebih tinggi (protokol aplikasi HTTP daripada protokol jaringan IP) dan memungkinkan implementasi publikasi sumber daya yang lebih fleksibel.

Proksi terbalik memungkinkan Anda merutekan permintaan ke server HTTP di jaringan lokal dari jaringan eksternal. Jadi, dengan memiliki satu catatan sumber daya untuk antarmuka jaringan eksternal NGFW, Anda dapat mempublikasikan beberapa sumber daya di jaringan lokal, mendistribusikannya ke beberapa URL masuk.

Membuat dan mengonfigurasi aturan

Mengonfigurasi sertifikat untuk sumber daya yang dipublikasikan tidak memerlukan pengunduhan manual. TKMTRM NGFW sendiri mengirimkan permintaan penerbitan sertifikat Let's Encrypt. Mungkin diperlukan waktu hingga 20 menit untuk menerbitkan sertifikat. Sertifikat yang diterbitkan akan tersedia di bagian Sertifikat.

Untuk membuat aturan, buka bagian Layanan -> Reverse Proxy dan klik tombol Tambah. Formulir untuk menambahkan aturan dibagi menjadi dua subbagian: Pengaturan dasar, Alamat server web untuk menyeimbangkan permintaan di antara keduanya dan Pengaturan tambahan.

Pengaturan dasar

  • Alamat Internet yang diminta - masukkan alamat IP, nama domain, atau URL yang akan diminta oleh pengguna. Untuk menambahkan alamat tambahan, klik tombol Tambahkan alamat;

  • Alamat server web di jaringan lokal - masukkan alamat IP dari jaringan lokal ke mana pengguna akan dialihkan.

Jika Anda menentukan 0.0.0.0 di baris Alamat Internet yang diminta, pengalihan akan berfungsi dari semua alamat IP eksternal TKMTRM NGFW ke alamat dari baris Alamat server web di jaringan lokal.

Agar pengalihan berfungsi dari domain TKMTRM NGFW ke alamat dari baris Alamat server web di jaringan lokal, Anda harus secara eksplisit menentukan domain di baris Alamat Internet yang diminta.

Alamat server web untuk menyeimbangkan permintaan di antara mereka

  • Protokol - protokol yang dipilih digunakan untuk semua alamat dalam aturan;

  • Alamat server web di jaringan lokal - alamat tujuan pengalihan permintaan;

  • Jalur - bidang ini opsional dan digunakan untuk semua alamat.

Pengaturan tambahan

  • Fungsi Redirect permintaan HTTP ke HTTPS digunakan jika situs Anda hanya beroperasi melalui protokol HTTPS, namun Anda tidak ingin kehilangan pengunjung yang mengakses situs Anda melalui HTTP;

  • Fungsi Web Application Firewall memungkinkan Anda melindungi sumber daya yang dipublikasikan menggunakan TKMTRM NGFW dari berbagai jenis serangan (termasuk serangan SQLi, XSS, DoS, dan lainnya);

  • Ketika fungsi Transfer alamat IP asli klien ke server web diaktifkan, alamat IP publik klien tidak diganti dengan alamat NGFW selama proksi terbalik.

Web Application Firewall (WAF) menganalisis permintaan ke situs dan memblokir serangan terhadap komponen aplikasi web yang rentan (khususnya, jenis serangan yang termasuk dalam OWASP TOP-10). Ketika modul ini diaktifkan, penyerang yang memindai situs untuk mencari kerentanan juga akan diblokir menggunakan modul perlindungan serangan brute force.

Kami tidak menyarankan penggunaan penerusan antarmuka web NGFW melalui WAF, karena ketika mencoba masuk, pengguna mungkin diblokir oleh WAF.

  • Bidang Jenis Postingan memungkinkan Anda memilih salah satu jenis berikut: Standar dan Akses Web Outlook. Jenis Outlook Web Access digunakan untuk penerbitan Microsoft Exchange.

Di bidang Alamat Internet yang diminta dan Alamat jaringan lokal untuk jenis Akses Web Outlook, tentukan hanya domain https://youdomain/ tanpa URL lainnya (ini adalah tidak digunakan saat menerbitkan dengan cara ini).

Saat menerbitkan Outlook Web Access, jangan aktifkan Firewall Aplikasi Web. Kerja sama mereka akan dimungkinkan di versi mendatang.

Jika Anda memiliki sertifikat SSL tepercaya untuk domain yang akan digunakan untuk mengakses sumber daya yang dipublikasikan dari luar, Anda dapat mengunggahnya ke bagian Layanan -> Sertifikat menggunakan tombol Tambahkan.

Nama domain yang ditentukan dalam bidang Alamat Internet yang diminta harus ditetapkan ke alamat IP eksternal server NGFW. Nama domain yang ditentukan dalam bidang Alamat jaringan lokal harus diselesaikan menjadi alamat IP sumber daya yang dipublikasikan oleh server NGFW itu sendiri.

Publikasi CMS

Saat ini, kami telah menguji dan secara resmi mendukung publikasi situs di dua CMS populer: Joomla dan Wordpress. Detail penerbitan setiap CMS dijelaskan di bawah ini.

Joomla

Joomla dalam implementasinya saat ini diterbitkan jika Anda mengonfigurasi pengalihan dari domain eksternal ke domain lokal tanpa awalan:

  • Kaitkan dengan alamat NGFW eksternal nama domain tambahan khusus untuk penerbitan Joomla: joomla.mydomain.ru;

  • Konfigurasikan aturan penerbitan joomla.mydomain.ru -> joomla.local:port (port bersifat opsional).

WordPress

WordPress dalam implementasinya saat ini hanya dipublikasikan dalam konfigurasi ketika domain yang sama dikonfigurasi di WordPress dan proksi sebaliknya:

  • Untuk domain perusahaan, tambahkan A-record wordpress.mydomain.ru, yang menunjuk ke alamat IP eksternal NGFW;

  • Di server lokal, domain wordpress.mydomain.ru harus dikonfigurasi di panel admin WordPress pada port HTTP standar;

  • Tambahkan aturan penerbitan wordpress.mydomain.ru -> wordpress.mydomain.ru ke proxy terbalik.

Perlindungan terhadap serangan DoS

Mengaktifkan opsi Perlindungan terhadap serangan DoS akan membatasi lalu lintas jika:

  • kecepatan - lebih dari 200 permintaan per detik dari satu alamat IP;

  • jumlah koneksi dari satu alamat IP - lebih dari 1000;

  • ukuran permintaan - lebih dari 50 MB;

  • waktu tunggu untuk membaca header dan isi permintaan lebih dari 5 detik.

PreviousMenyiapkan proxy dengan single interfaceNextDNS

Last updated