问题现象
需要对网段做白名单,但是已经是反向代理模式,访问控制里面的动作只有拦截没有放行,无法配置白名单。
告警信息
在反代模式下,可以看到访问控制规则中只有拦截动作没有放行。
原因分析
WAF只有透明代理可以直接在配置-访问控制里配置放行动作。
可以通过自定义规则对报文的一些特征做检测,来达到放行的动作。在反代模式中,WAF上报文的请求IP地址发生了变化,所以不能将自定义规则配置成匹配请求IP。
解决办法
客户希望对网段做白名单,由于现场是反向代理模式,访问控制里面的动作只有拦截没有放行,可以使用如下方式实现:
可以在自定义规则中作如下配置:检测请求头,匹配正则:x-forwarded-for:\\s192\\.168\\.1.*(用于匹配源地址为:192.168.1.0网段的客户端)。勾选字母最小化和URL解码,动作选择“放行”,再将该规则添加到相应的规则组,只要是引用了规则组的站点该规则都会生效,如下图所示。
建议与总结
在反代模式下,可以通过检测x-forwarded-for请求头,对地址或地址段进行放行操作