以下是基本情景:
我有一套没有公共ips的内部机器。我想在公共IP中使用DMZ前面的某些,然后将http(和websocket)数据转发到内部机器。我很欣赏这可能是DataPower的基本用法,但是我可以访问XI52并且一直在使用它。
我在DP上完成了新手,但我设法配置了一个Web应用程序防火墙,该防火墙位于DP框上内部ip:端口 公共IP:其他端口< /强>
但是,这似乎不允许websocket连接。研究表明我的V7盒可以做websockets,但我只能在配置http前端处理程序时看到选项,如果配置多协议网关,则只能使用AFAK。
所以 - 几个问题:
1 - 您可以为WAF启用websockets吗? 2 - 在这里使用WAF甚至是正确的呼叫 - 我将如何添加新的内部机器 - 每次添加一个新的WAF?
任何想法都非常感激,
Sam R
答案 0 :(得分:1)
DataSower固件的v7确实引入了WebSocket支持。我没有可用于确认的v7设备,但我的理解是,从7.0开始,您使用http前端处理程序配置多协议网关,并指定应允许Web套接字的http升级。从那时起,DP将简单地将流量代理到配置的后端。
我不知道WAF是否也支持7.0以下的Web套接字升级,但它应该很容易验证。在7.1下,WAF支持发生了显着变化 - ISAM支持有效地融入了固件 - 请参阅http://www-01.ibm.com/common/ssi/cgi-bin/ssialias?infotype=AN&subtype=CA&htmlfid=897/ENUS214-394&appname=USN。
我认为如果 DP正在填补空白,或者通过执行其他功能(如TLS终止或进行客户端身份验证(即密码验证)),那么让DP服务Web套接字流量是可以的。否则,这有点像用火箭筒杀死苍蝇。