拓扑描述:
LB设备作为出口设备,设备上只做了NAT server映射,也没有做任何的链路负载配置,中间的防火墙和核心交换机做了透明部署。
WAF设备上看不到外网的攻击地址,只能看到内网的攻击地址,显示的源地址是192.168.0.1 地址。
1,检查WAF设备上的配置,看看x-forward-for是否配置正确,确定现场已经勾选x-forward-for。虽然waf设备可以提取http报文里面的host字段,但是由于LB并没有配置服务器负载均衡,也没有相关x-forward-for的配置。因此在waf设备上面这个勾选也是没有意义的。
2,LB 设备上是否做了其他配置发现内网接口配置了nat outbound,流量从内网接口出去会将外网的原地址转换为内网接口IP地址:
检查到LB设备上地址为192.168.0.1地址配置NAT outbound
interface GigabitEthernet1/0/1
port link-mode route
ip address 192.168.0.1 255.255.255.252
nat outbound
通过以上分析可知,问题在于LB设备内网接口配置了nat outbound的命令,解决方法如下:
1、让工程师把NAT outbound 删除掉之后,WAF设备确实可以检测到外网的攻击数据,但是工程师反馈内网用户要通过LB设备访问内网服务器,所以不能删除nat outbound 命令
2、由于内网用户通过LB的外网地址访问内网服务器,因此还需要在该接口下 nat outbound命令后面加一条ACL,只匹配内网终端到服务器的数据,问题解决。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作