Обратный прокси
Публикация веб-ресурсов локальной сети таким образом, чтобы они стали доступны потребителям из сети интернет.
Last updated
Was this helpful?
Публикация веб-ресурсов локальной сети таким образом, чтобы они стали доступны потребителям из сети интернет.
Last updated
Was this helpful?
Название службы раздела Обратный прокси: ideco-reverse-backend.
Список служб для других разделов доступен по ссылке.
Технология обратного прокси позволяет проксировать веб-трафик из сети интернет в локальную сеть. Отличается от DNAT тем, что работает на более высоком уровне (прикладной протокол HTTP вместо сетевого протокола IP) и позволяет более гибко реализовать публикацию ресурсов.
Обратный прокси позволяет смаршрутизировать запрос на HTTP-сервер в локальной сети из внешней сети. Таким образом, имея одну ресурсную A-запись для внешнего сетевого интерфейса NGFW, можно опубликовать несколько ресурсов в локальной сети, распределив их по нескольким входящим URL.
Настройка сертификатов для публикуемых ресурсов не требует их ручной загрузки. Ideco NGFW сам отправляет запрос на выпуск сертификата Let's Encrypt. Выпуск сертификата может занять до 20 минут. Выпущенные сертификаты будут доступны в разделе Сертификаты.
Для создания правила перейдите в раздел Сервисы -> Обратный прокси и нажмите на кнопку Добавить. Форма добавления правила разделена на два подраздела: Основные настройки, Адреса web-серверов для балансировки запросов между ними и Дополнительные настройки.
Запрашиваемый адрес в интернете - введите IP-адрес, доменное имя или URL, который будет запрашиваться пользователями. Для добавления дополнительных адресов нажмите кнопку Добавить адрес.
Если в поле Запрашиваемый адрес в интернете нескольких правил будет указан один и тот же IP-адрес/доменное имя/URL, то сработает только одно из созданных правил.
Если нужно создать несколько правил для одного и того же IP-адреса/доменного имени, в поле Запрашиваемый адрес в интернете разных правил должны быть указаны разные пути после IP-адреса/доменного имени.
Протокол - выбранный протокол используется для всех адресов в правиле;
Адрес web-сервера в локальной сети - адрес, на который будут перенаправлены запросы;
Путь - поле необязательное и используется для всех адресов.
Функция Перенаправлять HTTP-запросы на HTTPS используется в случае, если ваш сайт работает только по протоколу HTTPS, но при этом вы не хотите терять посетителей, обратившихся к вашему сайту по HTTP;
Профиль WAF - позволяет задать параметры защиты веб-ресурса при указании WAF-профиля.
При включении функции Передавать web-серверу реальный IP-адрес клиента публичный IP-адрес клиента при обратном проксировании не заменяется на адрес NGFW.
Поле Тип публикации позволяет выбрать один из типов: Стандартный и Outlook Web Access. Тип Outlook Web Access используется для публикации Microsoft Exchange.
В полях Запрашиваемый адрес в интернете и Адрес в локальной сети для типа Outlook Web Access укажите только домены https://youdomain/ без остальной части URL (она не используется при публикации этим способом).
Если у вас имеется доверенный SSL-сертификат для домена, по которому будет идти обращение извне на публикуемый ресурс, то его можно загрузить в раздел Сервисы -> Сертификаты с помощью кнопки Добавить.
Доменные имена, указываемые в поле Запрашиваемый адрес в интернете, должны резолвиться во внешний IP-адрес сервера NGFW. Доменные имена, указываемые в поле Адрес в локальной сети, должны резолвиться в IP-адреса публикуемых ресурсов самим сервером NGFW.
Публикация CMS
Нами протестирована и официально поддерживается публикация сайтов на двух популярных CMS: Joomla и Wordpress. Подробности публикации каждой CMS описаны ниже.
Включение опции Защита от DoS-атак ограничивает трафик, если:
скорость - более 200 запросов в секунду с одного IP-адреса;
количество подключений с одного IP-адреса - более 1000;
размер запроса - более 50 Мб;
время ожидания на чтение заголовка и тела запроса - более 5 секунд.
