WAFとFWについて

さん  
(No.1)
応用情報の平成30年春午後問5の設問3(3)があまり理解できていないので、質問させていただきます。

Webサーバに直接アクセスするのを防ぐためにFWに設定すべきルールを考える問題ですが、応用情報ドットコムや左門本の解説には、「送信元のIPアドレスがWAFのIPアドレスと同じものを許可すればよい」とありました。

WAFやFWの配置は、インターネット側から見てFW→IPS/IDS→WAFの順だと理解しているのですが、これだと、WAF→FWの通信は帰りがけの場合になると思います。
そうであれば、FWがWAFからのパケットを見てWebサーバへの通信を制御することはできないような気がしてしまいます…
Webサーバへのアクセスそのものを制御するのであれば、「ホスト名がw3(Webサーバのホスト名で、WAFサービスに転送される設定になっている)以外のものは遮断する」のが良いと考えました(IPアドレスでアクセスする場合にはWAFを指定する必要があるのでしょうか?)。

そこで質問なのですが、インターネットからWebサーバに通信するパケットは、どのような順番でFWやWAFを通過するのでしょうか?

初歩的な質問かもしれませんが、調べてもあまり納得できる記事がなかったので、こちらで質問させていただきました。
ご回答よろしくお願いいたします。
2022.12.22 23:05
犬。さん 
(No.2)
>ひさん
こんにちは。

>WAFやFWの配置は、インターネット側から見てFW→IPS/IDS→WAFの順だと理解している

IPS/IDSの配置は一旦置いておきますが、アプライアンス、ソフトウェアのWAFであれば、ひさんの認識どおり、FW→WAF→Webサーバの順で通信できるように配置するのが一般的ですね。

一方、本問のWAFはクラウドサービスなので、WAF→FW→Webサーバの順で通信されることになります。

以下の流れになる感じですね。
①A社DNSサーバに問い合わせたら、CNAMEが返ってくる
②B社DNSサーバに問い合わせたら、WAFサービスのIPアドレスが返ってくる
③WAFサービスにHTTPリクエストを投げる
④WAFサービスがHTTPリクエストを検証
⑤A社Webサーバ(実際には負荷分散装置)にHTTPリクエストを転送

A社FWから見ると、⑤の通信の送信元IPアドレスはWAFサービスのものになっている
ため、送信元を絞ることが可能になるという仕組みだと思います。

如何でしょうか。
2022.12.23 12:36
さん  
(No.3)
ご回答ありがとうございます。

クラウド型の場合はインターネット側にWAFが配置されるのですね。
これでFWがWAFのIPアドレスを見ることが出来る理由がはっきりしました。

ご丁寧にデータの流れも示して頂いて、ありがとうございました!
2022.12.24 17:04

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。

その他のスレッド


Pagetop