这是基本场景:
我有一组没有公共 ip 的内部机器。我想在 DMZ 中使用公共 IP 放置一些东西,然后将 http(和 websocket)数据转发到内部机器。我很欣赏这可能是 DataPower 的基本用途,但我可以使用 XI52 并且一直在使用它。
我是 DP 的完全新手,但我设法配置了一个 Web 应用程序防火墙,它将在 DP 盒public ip:some other port上前置internal ip: port 。
但是,这似乎不允许 websocket 连接。研究表明我的 V7 机器可以执行 websockets,但我只能在配置 http 前端处理程序时看到选项,只有在我配置多协议网关时才能使用 AFAK。
所以 - 几个问题:
1 - 你可以为 WAF 启用 websockets 2 - 在这里使用 WAF 是否是正确的调用 - 我将如何添加新的内部机器 - 每次添加一个新的 WAF 时创建一个新的 WAF?
任何想法都非常感谢,
山姆·R
WebSocket 支持确实是在 DataPower 固件 v7 中引入的。我没有可用于确认的 v7 设备,但我的理解是,从 7.0 开始,您配置一个带有 http 前端处理程序的多协议网关,并指定应该允许 web 套接字的 http 升级。从那时起,DP 将简单地将流量代理到配置的后端。
我不知道WAF是否也支持7.0以下的web socket升级,但应该很容易验证。在 7.1 下,WAF 支持发生了显着变化 - ISAM 支持有效地融入了固件 - 请参阅http://www-01.ibm.com/common/ssi/cgi-bin/ssialias?infotype=AN&subtype=CA&htmlfid=897/ENUS214- 394&应用程序名称=USN。
我认为,如果DP 正在填补空白,或者通过执行 TLS 终止或进行客户端身份验证(即密码验证)等其他功能来增加价值,我认为让 DP 服务 Web 套接字流量是可以的。否则,这有点像用火箭筒杀死苍蝇。