Prisma Cloud Compute: WAAS no puede bloquear ataques de Internet a un servidor web alojado detrás de un servidor proxy inverso
3386
Created On 07/15/22 01:58 AM - Last Modified 01/03/25 03:38 AM
Symptom
Configuración de muestra
{Internet} ---- [Servidor proxy inverso] ---- [Servidor web Apache HTTP ]
- Servidor web Apache HTTP alojado detrás de un servidor proxy inverso.
- Prisma Cloud Defender instalado en el servidor web.
- Sin embargo, Prisma Cloud WAAS no puede bloquear ataques de Internet (como inyección SQL o SQLi) para este servidor web.
Environment
- Computación en la nube Prisma
- Proxy inverso
Cause
- El ataque no se bloqueará proporcionando la Dirección IP o el nombre de host del servidor web interno en:
Calcular > Defender> WAAS > Host > Regla > Definición de la aplicación > Puntos finales protegidos > Host HTTP .
Resolution
- Revise los eventos WAAS en Monitorear > Eventos > WAAS para hosts > Seleccione un tipo de ataque > Eventos WAAS agregados.
En el siguiente ejemplo, seleccionamos el tipo de ataque 'Inyección SQL' para ver todos los eventos WAAS agregados para este ataque.
- La sección de datos HTTP proporcionará la URL decodificada del host HTTP ( URL del servidor proxy inverso en nuestro caso).
- Cambie el host HTTP a este URL en:
Calcular > Defender> WAAS > Host > Regla > Definición de la aplicación > Puntos finales protegidos > Host HTTP .
Additional Information
- Para obtener más información, consulte: Solución de problemas de WAAS
- Para realizar pruebas basadas en curl que se puedan usar para verificar que los puntos finales se hayan definido correctamente, consulte: Configuración del firewall de aplicaciones
Por ejemplo, para probar la inyección SQL, ejecute el siguiente comando:
curl -I http://<http_hostname>:<external_port>/\?id\=%27%20OR%20%271
- Si el ataque se bloquea con éxito, debería ver un mensaje HTTP 403 Prohibido.