WAFとFWについて
ひさん
(No.1)
応用情報の平成30年春午後問5の設問3(3)があまり理解できていないので、質問させていただきます。
Webサーバに直接アクセスするのを防ぐためにFWに設定すべきルールを考える問題ですが、応用情報ドットコムや左門本の解説には、「送信元のIPアドレスがWAFのIPアドレスと同じものを許可すればよい」とありました。
WAFやFWの配置は、インターネット側から見てFW→IPS/IDS→WAFの順だと理解しているのですが、これだと、WAF→FWの通信は帰りがけの場合になると思います。
そうであれば、FWがWAFからのパケットを見てWebサーバへの通信を制御することはできないような気がしてしまいます…
Webサーバへのアクセスそのものを制御するのであれば、「ホスト名がw3(Webサーバのホスト名で、WAFサービスに転送される設定になっている)以外のものは遮断する」のが良いと考えました(IPアドレスでアクセスする場合にはWAFを指定する必要があるのでしょうか?)。
そこで質問なのですが、インターネットからWebサーバに通信するパケットは、どのような順番でFWやWAFを通過するのでしょうか?
初歩的な質問かもしれませんが、調べてもあまり納得できる記事がなかったので、こちらで質問させていただきました。
ご回答よろしくお願いいたします。
Webサーバに直接アクセスするのを防ぐためにFWに設定すべきルールを考える問題ですが、応用情報ドットコムや左門本の解説には、「送信元のIPアドレスがWAFのIPアドレスと同じものを許可すればよい」とありました。
WAFやFWの配置は、インターネット側から見てFW→IPS/IDS→WAFの順だと理解しているのですが、これだと、WAF→FWの通信は帰りがけの場合になると思います。
そうであれば、FWがWAFからのパケットを見てWebサーバへの通信を制御することはできないような気がしてしまいます…
Webサーバへのアクセスそのものを制御するのであれば、「ホスト名がw3(Webサーバのホスト名で、WAFサービスに転送される設定になっている)以外のものは遮断する」のが良いと考えました(IPアドレスでアクセスする場合にはWAFを指定する必要があるのでしょうか?)。
そこで質問なのですが、インターネットからWebサーバに通信するパケットは、どのような順番でFWやWAFを通過するのでしょうか?
初歩的な質問かもしれませんが、調べてもあまり納得できる記事がなかったので、こちらで質問させていただきました。
ご回答よろしくお願いいたします。
2022.12.22 23:05
犬。さん
(No.2)
>ひさん
こんにちは。
>WAFやFWの配置は、インターネット側から見てFW→IPS/IDS→WAFの順だと理解している
IPS/IDSの配置は一旦置いておきますが、アプライアンス、ソフトウェアのWAFであれば、ひさんの認識どおり、FW→WAF→Webサーバの順で通信できるように配置するのが一般的ですね。
一方、本問のWAFはクラウドサービスなので、WAF→FW→Webサーバの順で通信されることになります。
以下の流れになる感じですね。
①A社DNSサーバに問い合わせたら、CNAMEが返ってくる
②B社DNSサーバに問い合わせたら、WAFサービスのIPアドレスが返ってくる
③WAFサービスにHTTPリクエストを投げる
④WAFサービスがHTTPリクエストを検証
⑤A社Webサーバ(実際には負荷分散装置)にHTTPリクエストを転送
A社FWから見ると、⑤の通信の送信元IPアドレスはWAFサービスのものになっている
ため、送信元を絞ることが可能になるという仕組みだと思います。
如何でしょうか。
2022.12.23 12:36
ひさん
(No.3)
ご回答ありがとうございます。
クラウド型の場合はインターネット側にWAFが配置されるのですね。
これでFWがWAFのIPアドレスを見ることが出来る理由がはっきりしました。
ご丁寧にデータの流れも示して頂いて、ありがとうございました!
クラウド型の場合はインターネット側にWAFが配置されるのですね。
これでFWがWAFのIPアドレスを見ることが出来る理由がはっきりしました。
ご丁寧にデータの流れも示して頂いて、ありがとうございました!
2022.12.24 17:04
返信投稿用フォーム
スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。