NSX Advanced Load Balancer: WAF и HTTP policies
NSX Advanced Load Balancer, также известный как AVI Load Balancer, используется для балансировки трафика и дополнительных L7-функций: HTTP policies, WAF, bot protection, rate limiting, security rules и других политик виртуального сервиса.
В VMware Cloud Director доступность self-service функций зависит от версии Cloud Director и настроек площадки. Если нужного раздела или действия нет в интерфейсе, обратитесь в поддержку ITGLOBAL.COM.
Когда применимо
Инструкция применима для сценариев, где виртуальный сервис NSX Advanced Load Balancer настроен на Edge Gateway в VMware Cloud Director.
Типовые задачи:
- включить WAF для опубликованного web-приложения;
- перевести WAF в режим Detection или Enforcement;
- добавить allowlist-правила для исключений;
- настроить HTTP policy для редиректа, изменения заголовков, content switching или security-логики;
- понять, какие действия доступны в Cloud Director, а какие выполняются через поддержку ITGLOBAL.COM.
Что проверить до настройки
Перед настройкой нужно проверить:
- виртуальный сервис уже создан и привязан к нужному Edge Gateway;
- Service Engine Group назначена Edge Gateway;
- для WAF требуется Premium feature set у Service Engine Group;
- пользователь имеет права Organization Administrator;
- раздел WAF или нужные HTTP policies доступны в интерфейсе Cloud Director.
Ограничения доступности
Набор доступных функций зависит от версии VMware Cloud Director и настроек площадки.
- Если self-service WAF или HTTP policies доступны в Cloud Director, настройку можно выполнить из портала.
- Если нужного раздела нет в интерфейсе, настройка выполняется через поддержку ITGLOBAL.COM на стороне AVI Controller.
- Для WAF требуется Service Engine Group с Premium feature set.
По документации Broadcom, начиная с VMware Cloud Director 10.5.1 доступен tenant self-service UI для NSX Advanced Load Balancer WAF при использовании Premium Service Engine Gateway.
Включение WAF в Cloud Director
Если площадка поддерживает self-service WAF:
- Откройте
Networking. - Перейдите на вкладку
Edge Gateways. - Выберите NSX Edge Gateway, на котором настроен virtual service.
- Откройте нужный virtual service.
- Перейдите в раздел
WAF. - В блоке
GeneralнажмитеEdit. - Включите
WAF State. - Выберите режим WAF.
- Нажмите
Save.
Доступные режимы:
Detection- WAF анализирует запросы и пишет события в лог, но не блокирует трафик;Enforcement- WAF анализирует запросы и блокирует срабатывания правил, соответствующие события помечаются как rejected.
Для первичного включения обычно безопаснее начинать с Detection, собрать false positive и только после проверки переводить в Enforcement.
Allowlist-правила WAF
Allowlist используется, если нужно исключить часть легитимного трафика из проверки WAF или снизить количество false positive.
В Cloud Director можно задать match criteria:
- client IP address;
- HTTP method;
- path;
- host header.
Доступные действия:
Bypass- WAF больше не проверяет запрос, запрос разрешается;Continue- allowlist-проверка завершается, далее выполняется проверка WAF signatures;Detection Mode- запрос анализируется без блокировки, событие пишется в лог.
HTTP policies
HTTP Policy Set применяется к L7 virtual service и содержит правила обработки HTTP request/response.
По документации Broadcom политики virtual service работают как ordered rules:
- правила проверяются сверху вниз;
- rule состоит из match criteria и action;
- внутри одного match type несколько значений обычно работают по OR-логике;
- разные match types в одном rule должны совпасть одновременно, то есть работают как AND;
- если rule совпал, выполняется действие, затем обработка продолжается согласно порядку политик.
HTTP policies используют для задач:
- HTTP to HTTPS redirect;
- redirect на другой URL;
- rewrite request/response headers;
- content switching;
- выбор pool или pool group по условиям;
- security-логика на L7.
Если нужная политика недоступна в Cloud Director, обратитесь в поддержку ITGLOBAL.COM.
Настройка через поддержку
Некоторые расширенные настройки выполняются на стороне AVI Controller. В этом случае передайте в поддержку:
- название Edge Gateway;
- название virtual service;
- требуемое действие: WAF, HTTP policy, allowlist, redirect, header rewrite или другое;
- условия срабатывания политики: host, path, HTTP method, client IP или другие параметры;
- желаемый режим WAF: Detection или Enforcement.
Такой путь используется, если:
- tenant self-service не включен;
- требуется настройка, которую Cloud Director UI не покрывает;
- нужны более тонкие политики, чем доступны в портале.