Prisma Cloud Compute: WAAS kann Internetangriffe für einen Webserver, der hinter einem Reverse-Proxy-Server gehostet wird, nicht sperren

Beispiel-Setup

{Internet} ---- [Reverse-Proxy-Server] ---- [Apache HTTP -Webserver]

• Apache HTTP -Webserver, gehostet hinter einem Reverse-Proxy-Server.
• Prisma Cloud Defender auf dem Webserver installiert.
• Prisma Cloud WAAS konnte jedoch keine Internetangriffe (wie SQL-Injection oder SQLi) für diesen Webserver sperren .

• Prisma Cloud Compute
• Reverse-Proxy

• Der Angriff wird nicht blockiert, wenn Sie entweder die IP-Adresse oder den Hostnamen des internen Webservers angeben unter:

Berechnen > Verteidigen> WAAS > Host > Regel > App-Definition > Geschützte Endpunkte > HTTP Host.

• Überprüfen Sie die WAAS-Ereignisse unter „Monitor > Ereignisse > WAAS für Hosts > Wählen Sie einen Angriffstyp > Aggregierte WAAS-Ereignisse“.

Im folgenden Beispiel wählen wir den Angriffstyp „SQL-Injection“ aus, um alle aggregierten WAAS-Ereignisse für diesen Angriff anzuzeigen.

• Der HTTP Datenabschnitt stellt die dekodierte URL des HTTP Hosts bereit (in unserem Fall die URL des Reverse-Proxy-Servers).
• Ändern Sie den HTTP Host in URL unter:

Berechnen > Verteidigen> WAAS > Host > Regel > App-Definition > Geschützte Endpunkte > HTTP Host.

• Weitere Informationen finden Sie unter: WAAS-Fehlerbehebung
• Informationen zum Durchführen von curl-basierten Tests, mit denen überprüft werden kann, ob Endpunkte ordnungsgemäß definiert wurden, finden Sie unter: App-Firewall-Einstellungen

Um SQL-Injection zu testen, führen Sie beispielsweise den folgenden Befehl aus:

curl -I http://<http_hostname>:<external_port>/\?id\=%27%20OR%20%271

• Wenn der Angriff erfolgreich blockiert wurde, sollte die Meldung „HTTP 403 Forbidden“ angezeigt werden.