| |
| |
Defining X-Headers
| Author: Partian Co Reference Number: AA-00277 Views: 3167 Created: 2017-07-08 14:04 Last Updated: 2019-09-15 10:54 |
0 Rating/ Voters
|
 |
تعریف X-Header در FortiWeb
در بعضی از توپو لوژی ها باید تنظیماتی را جهت استفاده ی دستگاه FortiWeb از X-Header هایی از قبیل X-Forwarded-For یا X-Real-IP و یا True-Client-IP انجام دهید. استفاده دستگاه FortiWeb از X-Header های فوق در مواقع زیر اتفاق می افتد:
- دستگاه FortiWeb در پشت یک پروکسی و یا Load Balancer ای که NAT را اعمال می کند قرار گرفته است. این موضوع باعث می شود به جای این که کاربر، به عنوان فرستنده ی همه ی درخواست ها در نظر گرفته شود، IP Address مربوط به پروکسی یا Load Balancer به عنوان فرستنده در نظر گرفته شود. این مساله بر روی درخواست های مجاز تاثیر منفی می گذارد. دستگاه FortiWeb جهت Block کردن ترافیک، به IP Address کاربر نیاز دارد. بنابرین زمان Block کردن حملات، دستگاه FortiWeb آدرس مربوط به پروکسی یا Load Balancer را Block می کند. همچنین دستگاه FortiWeb به روش هایی جهت بدست آوردن IP Address مربوط به کاربران نیاز دارد که در نتیجه ی آن، توسط Log ها و و گزارشات مربوط به حملات، آدرس IP مربوط به هکر را نشان خواهد داد.
- وب سرور به IP Address کاربر به منظور تجزیه و تحلیل نیاز مند است، ولی چون دستگاه FortiWeb در حالت Reverse Proxy قرار دارد، NAT را اعمال می کند در نتیجه فرستنده ی درخواست ها دستگاه FortiWeb در نظر گرفته می شوند در حالی که این گونه نیست.
تنظیمات مربوط به اضافه کردن IP Address مربوط به فرستنده ی Packet در X-Forwarded-For یا X-Real-IP
- از منوی سمت چپ به مسیر Server Objects > X-Forwarded-For رفته و از نوار بالای صفحه گزینه ی Create New را انتخاب کنید.
نکته:
- برای فیلد Name یک نام منحصر بفرد انتخاب کرده تا در دیگر بخش های تنظیمات بتوانید به راحتی از آن استفاده کنید. در انتخاب نام مورد نظر از Space یا کاراکتر های خاص استفاده نکنید.همچنین حداکثر طول ایننام باید 35 کاراکتر باشد. لازم به ذکر است نام فوق بعد از ذخیره ی تنظیمات قابل تغییر نمی باشد. جهت تغییر نام بعد از ذخیره ی تنظیمات باید Rule مربوطه را انتخاب کرده و بر روی گزینه ی Clone کلیک کنید و پس از تغییر نام بدون هیچ گونه تغییر در مابقی تنظیمات آن را ذخیره کنید و Rule قدیمی را پاک کنید.
- با فعال کردن گزینه ی Add X-Forwarded-For درخواست هایی که به سمت وب سرور فرستاده می شوند شامل X-Forwarded-For HTTP Header می شوند. اگر HTTP Client یا Web Proxy این Header را فراهم نکنند دستگاه FortiWeb با استفاده از IP Address مربوط به Connection این Header را اضافه می کند. اگر HTTP Client یا Web Proxy قبلا این Header را فراهم کرده باشند IP Address را به لیست IP Address های Header، اضافه می کند. این گزینه فقط در مواقعی فعال می شود که FortiWeb در حالت Reverse Proxy یا True Transparent Proxy باشد که در نتیجه NAT را اعمال می کند و بنابر این Source Address را در لایه ی IP اضافه می کند.
- با فعال کردن گزینه ی Add X-Real-IP، در نتیجه درخواست هایی که به سمت وب سرور فرستاده می شوند شامل X-Real-IP HTTP می شوند. مشابه X-Forwarded-For این Header نیز توسط تعدادی پروکسی و وب سرور جهت دنبال کردن مسیر یا Log گیری و یا تجزیه و تحلیل استفاده می شود. این موارد بر اساس Source IP Address اصلی Packet انجام می شود. این گزینه فقط در مواقعی فعال می شود که FortiWeb در حالت Reverse Proxy یا True Transparent Proxy باشد که در نتیجه NAT را اعمال می کند و بنابر این Source Address را در لایه ی IP اضافه می کند. این گزینه IPv6 را پشتیبانی نمی کند.
- می توانید Rule مربوط به X-Header را در تنظیمات مربوط به Inline Protection Profile استفاده کنید.
مطلع کردن وب سرور از نوع سرویس مربوط به درخواست کاربر HTTP/HTTPS
معمولا اگر دستگاه FortiWeb در حالت Reverse Proxy عمل کرده و درخواست هایی از نوع HTTPS را از سمت کاربر دریافت کند، SSL/TLS به حالت Offload تغییر حالت می دهد. در نتیجه دستگاه FortiWeb به اتصال SSL/TLS خاتمه داده و دومین قست از درخواست که توسط دستگاه FortiWeb به سمت وب سرور فرستاده می شود به صورت Clear Text HTTP می باشد. در نتیجه وب سرور از HTTPS بودن نوع درخواست آگاه نمی شود. در صورتی که در بعضی از موارد وب سرور باید از نوع سرویس مربوط به درخواست مطلع باشد.
- جهت اضافه کردن یک HTTP Header که نوع سرویس استفاده شده در درخواست را مشخص می کند از منوی سمت چپ به مسیر Server Objects > XForwarded- For و سپس X-Forwarded-Proto را فعال کنید.
|
| |
|
Categories 
