WAF(Web Application Firewall)
Webサーバの負荷分散に加えて、WAFを実装する構成例です。
想定製品
SX-3550
構成概要図
全体構成要件
| サービス仕様 | 外部クライアント向けWebサービス |
|---|---|
| クライアント環境 | 外部不特定IPアドレスからの通信 |
| サービスIPアドレス | 10.1.1.11 |
| 使用プロトコル | HTTP |
| セキュリティー | ルーター/ファイアウォールでフィルタリング処理 SX-3550でWAF処理 |
| サービスサーバ台数 | 2台 |
| LB台数 | 2台 |
ロードバランサー構成要件
| 接続構成 | インライン・ルーティング構成(冗長) |
|---|---|
| 負荷分散方式 | 最少接続数(重み付けなし) |
| 仮想IP:port | 仮想IP10.1.1.11:80【bind対象物理IP10.1.2.101・10.1.2.102 計2台】 |
| セッション維持方式 | ソースIPアドレス(※1) |
| ヘルスチェック方式 | HTTP(※2) |
| SSL設定 | なし |
| ネットワーク設定 | VLAN2(WAF用VLAN) VLAN10:eth1 VLAN20:eth2 VLAN30:eth3 |
| ルーティング設定 | デフォルトルート |
| DNS設定 | 10.1.1.201(※3) |
| NAT設定 | なし(※4) |
| その他設定 | なし |
| 冗長設定 | LB01(Master) | LB02(Backup) | ||||
|---|---|---|---|---|---|---|
| VLAN10 | VLAN20 | VLAN30 | VLAN10 | VLAN20 | VLAN30 | |
| 管理IP | 10.1.1.21 | 10.1.2.21 | 10.1.3.21 | 10.1.1.22 | 10.1.2.22 | 10.1.3.22 |
| 仮想IP | 10.1.1.11 | 10.1.2.11 | - | 10.1.1.11 | 10.1.2.11 | - |
| peer IPアドレス |
- | - | 10.1.3.22 | - | - | 10.1.3.21 |
| preempt | 有効 | 有効 | - | 有効 | 有効 | - |
| priority | 110 | 110 | - | 100 | 100 | - |
| VRID | 10 | 20 | - | 10 | 20 | - |
| 監視ポート | eth1,2 | eth1,2 | - | eth1,2 | eth1,2 | - |
| 減少値 | 20 | 20 | - | 20 | 20 | - |
(※1) クライアントIPアドレスを基にセッション維持を実施
(※2) /にヘルスチェックを行い、statusが200番台であればOK
(※3) SiteGuard Liteシグネチャ・ダウンロードサイトの名前解決を行う為、DNSサーバの登録が必要
(※4) Webサーバ発信のアクセスでNetwiserを経由する際に、NetwiserでNATを行う場合はReverse-NAT設定が必要
Netwiser設定手順
| 手順1: 冗長構成設定 【LB2台とも設定】 |
ホスト名設定 VLAN設定 Interface設定 VRRP設定 peer IPアドレス設定 |
|---|---|
| 手順2: ケーブル接続作業 【LB2台とも実施】 |
構成図に基づいたケーブル接続 |
| 手順3: 負荷分散関連設定 【LB1台のみ設定】 |
ルーティングテーブル設定 DNS設定 実サーバ設定 仮想IPアドレス設定 ヘルスチェック設定 仮想サーバ設定 |
| 手順4: WAF設定 【LB2台とも実施】 |
ライセンス情報登録 シグネチャ更新設定 |
Netwiser冗長構成では、負荷分散関連設定については冗長構成相手との設定情報同期が設定変更のたびに自動で行うことができます。
手順1は、設定情報同期を行えるようにLB01 ・LB02ともに設定します。
手順2は、LB01・LB02ともに構成図に基づいてケーブル接続を実施します。
手順3は、Master機に設定すれば自動的に冗長相手機器に設定が反映されます。
仮想サーバ設定後は、 設定を反映させる為、LB01 ・LB02ともに再起動が必要になります。
手順4は、WAFの設定になりLB01・LB02ともに設定します。
上記構成の設定例、configをダウンロードできます。
