Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 2629 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Nur bestimmte IPs in der Web Application Firewall zulassen

andreas21
Hallo zusammen,

ich habe in der WAF einen virtuellen Webserver angelegt. 

Name: meine.domain.de

Schnittstelle: WAN (Address)

Port: 443

Zertifikat: meine.domain.de

Domänen: meine.domain.de

Echte Webserver: Lokaler Webserver

Firewall-Profil: :: Kein Profil ::


In der Firewall habe ich folgende Regeln angelegt: 

Position: 1

Quellen: Any

Dienste: HTTPS

Ziele: WAN (Address)

Aktion: Verwerfen



Position: 2

Quellen: x.x.x.x

Dienste: HTTPS

Ziele: WAN (Address)

Aktion: Zulassen


Dennnoch wird jede Quell-IP durchgelassen und kommt auf die Seite.

Kann es sein, dass die WAF eine "Auto-Rule" erstellt, welche alle Quellen zulässt, und diese vor den User-spezifischen Firewall-Regeln steht? 

Falls ja, kann man dies deaktivieren? Ich möchte nur bestimmte IPs zulassen.

Viele Grüße
andreas21


This thread was automatically locked due to age.
  • 0
    Hallo andreas21,

    die Firewall-Regeln sind unabhängig von der WAF. Grundsätzlich gibt es keine explizite Möglichkeit, nur einzelne IP-Adressen zuzulassen.

    Allerdings kannst du ein Firewall Profil mit URL Hardening anlegen, bei dem du nur eine Entry-URL definierst, die dann auf eine Seite zeigt, die nur für 'verbotene' User angezeigt wird.
    Anschließend legst du eine Exception an, die URL Hardening für alle Anfragen aus bestimmten Quellnetzwerken deaktiviert. Hier kannst du auch einzelne IP-Adressen definieren.

    Gruß
     Evianne
  • 0 in reply to Evianne
    Hallo Evianne,

    vielen Dank für deine Antwort.

    Kann die Entry-URL auch eine externe auf einem komplett anderen Server sein?

    Mir geht es darum, dass die nicht erlaubten Clients erst gar nicht bis zum echten Webserver vor kommen, da dieser im LAN Netzwerk ist.

    Viele Grüße
    Andreas
  • 0 in reply to andreas21
    Hallo Andreas,

    ja, das geht auch. Hierzu definierst du zwei echte Webserver für den virtuellen Webserver. Mittels Site-Path-Routing legst du fest, dass alle Anfragen für die Entry-URL bzw. den Pfad "/verboteneUser" an den öffentlichen Server gesendet werden und für "/" an deinen privaten Server.

    Gruß
     Sabine
Cookie Information Banner