Перейти к основному содержимому

NSX Advanced Load Balancer: WAF и HTTP policies

NSX Advanced Load Balancer, также известный как AVI Load Balancer, используется для балансировки трафика и дополнительных L7-функций: HTTP policies, WAF, bot protection, rate limiting, security rules и других политик виртуального сервиса.

В VMware Cloud Director доступность self-service функций зависит от версии Cloud Director и настроек площадки. Если нужного раздела или действия нет в интерфейсе, обратитесь в поддержку ITGLOBAL.COM.

Когда применимо

Инструкция применима для сценариев, где виртуальный сервис NSX Advanced Load Balancer настроен на Edge Gateway в VMware Cloud Director.

Типовые задачи:

  • включить WAF для опубликованного web-приложения;
  • перевести WAF в режим Detection или Enforcement;
  • добавить allowlist-правила для исключений;
  • настроить HTTP policy для редиректа, изменения заголовков, content switching или security-логики;
  • понять, какие действия доступны в Cloud Director, а какие выполняются через поддержку ITGLOBAL.COM.

Что проверить до настройки

Перед настройкой нужно проверить:

  • виртуальный сервис уже создан и привязан к нужному Edge Gateway;
  • Service Engine Group назначена Edge Gateway;
  • для WAF требуется Premium feature set у Service Engine Group;
  • пользователь имеет права Organization Administrator;
  • раздел WAF или нужные HTTP policies доступны в интерфейсе Cloud Director.

Ограничения доступности

Набор доступных функций зависит от версии VMware Cloud Director и настроек площадки.

  • Если self-service WAF или HTTP policies доступны в Cloud Director, настройку можно выполнить из портала.
  • Если нужного раздела нет в интерфейсе, настройка выполняется через поддержку ITGLOBAL.COM на стороне AVI Controller.
  • Для WAF требуется Service Engine Group с Premium feature set.

По документации Broadcom, начиная с VMware Cloud Director 10.5.1 доступен tenant self-service UI для NSX Advanced Load Balancer WAF при использовании Premium Service Engine Gateway.

Включение WAF в Cloud Director

Если площадка поддерживает self-service WAF:

  1. Откройте Networking.
  2. Перейдите на вкладку Edge Gateways.
  3. Выберите NSX Edge Gateway, на котором настроен virtual service.
  4. Откройте нужный virtual service.
  5. Перейдите в раздел WAF.
  6. В блоке General нажмите Edit.
  7. Включите WAF State.
  8. Выберите режим WAF.
  9. Нажмите Save.

Доступные режимы:

  • Detection - WAF анализирует запросы и пишет события в лог, но не блокирует трафик;
  • Enforcement - WAF анализирует запросы и блокирует срабатывания правил, соответствующие события помечаются как rejected.

Для первичного включения обычно безопаснее начинать с Detection, собрать false positive и только после проверки переводить в Enforcement.

Allowlist-правила WAF

Allowlist используется, если нужно исключить часть легитимного трафика из проверки WAF или снизить количество false positive.

В Cloud Director можно задать match criteria:

  • client IP address;
  • HTTP method;
  • path;
  • host header.

Доступные действия:

  • Bypass - WAF больше не проверяет запрос, запрос разрешается;
  • Continue - allowlist-проверка завершается, далее выполняется проверка WAF signatures;
  • Detection Mode - запрос анализируется без блокировки, событие пишется в лог.

HTTP policies

HTTP Policy Set применяется к L7 virtual service и содержит правила обработки HTTP request/response.

По документации Broadcom политики virtual service работают как ordered rules:

  • правила проверяются сверху вниз;
  • rule состоит из match criteria и action;
  • внутри одного match type несколько значений обычно работают по OR-логике;
  • разные match types в одном rule должны совпасть одновременно, то есть работают как AND;
  • если rule совпал, выполняется действие, затем обработка продолжается согласно порядку политик.

HTTP policies используют для задач:

  • HTTP to HTTPS redirect;
  • redirect на другой URL;
  • rewrite request/response headers;
  • content switching;
  • выбор pool или pool group по условиям;
  • security-логика на L7.

Если нужная политика недоступна в Cloud Director, обратитесь в поддержку ITGLOBAL.COM.

Настройка через поддержку

Некоторые расширенные настройки выполняются на стороне AVI Controller. В этом случае передайте в поддержку:

  • название Edge Gateway;
  • название virtual service;
  • требуемое действие: WAF, HTTP policy, allowlist, redirect, header rewrite или другое;
  • условия срабатывания политики: host, path, HTTP method, client IP или другие параметры;
  • желаемый режим WAF: Detection или Enforcement.

Такой путь используется, если:

  • tenant self-service не включен;
  • требуется настройка, которую Cloud Director UI не покрывает;
  • нужны более тонкие политики, чем доступны в портале.

Дополнительная документация Broadcom