Einrichtung
Die creoline WAF befindet sich aktuell in der Closed-Beta-Phase. Die Einrichtung ist daher nur über unser neues Kundencenter möglich. Einige Features der creoline WAF stehen aufgrund der aktiven Entwicklung nur eingeschränkt zur Verfügung.
Einrichtung
- Fordern Sie den Beta-Zugang über unseren Support an
- Melden Sie sich über unser neues Kundencenter unter app.creoline.com an
- Wählen Sie den Menüpunkt Web Application Firewall → Instanz erstellen aus.
Tragen Sie als Domainnamen den vollständigen Domainnamen Ihrer zu schützenden Webseite ein. Beachten Sie hierbei die strikte Trennung von Haupt- und Subdomains. Sofern Ihr Webserver beispielsweise eine 301-Weiterleitung von my-shop.com zu www.my-shop.com durchführt, muss die www.-Variante ebenfalls in der WAF-Instanz hinzugefügt werden.
Als Upstream Host können Sie entweder die IPv4-Adresse oder den DNS-Hostnamen Ihres Servers verwenden. Bitte beachten Sie, dass Sie hier nicht den Domainnamen Ihrer Webseite verwenden können, da dieser im folgenden Schritt via DNS zu unserer Web Application Firewall umgeleitet wird.
Anpassung der DNS-Zone
Im nächsten Schritt ist die Anpassung der DNS-Einträge Ihrer Domain erforderlich. Sofern Sie eine Hauptdomain schützen möchten, ändern Sie die DNS-Einträge wie folgt bei Ihrem DNS-Anbieter:
Hauptdomain
Beispiel für my-shop.com
| RR-Typ | Host | Wert | TTL |
|---|---|---|---|
| A | my-shop.com | 5.1.73.191 | 3600 |
| AAAA | my-shop.com | 2a07:6fc0:1:0:7::213 | 3600 |
Subdomain
Beispiel für www.my-shop.com
| RR-Typ | Host | Wert | TTL |
|---|---|---|---|
| CNAME | www.my-shop.com | edge.waf.creoline.net | 3600 |
Sobald die DNS-Einträge durch uns validiert worden sind, stellen wir automatisch ein passendes SSL-Zertifikat aus, sodass der manuelle Schritt zur Ausstellung und Verlängerung von Zertifikaten für Sie vollständig entfällt.
Konfiguration in der Web-Applikation
Zukünftig werden HTTP-Anfragen an Ihre Web-Applikation zuerst über die Web Application Firewall geroutet und anschließend an Ihre Web-Applikation weitergeleitet. Sofern Ihre Applikation die IP-Adresse des Clients auswertet, um beispielsweise Logging oder bestimmte Informationen zu Speichern ist eine Anpassung der Applikation erforderlich.
Request Header der WAF
Folgende HTTP-Header werden von der WAF an den Upstream-Server in jedem Request gesendet:
| Header | Beispiel | Beschreibung |
|---|---|---|
| X-Waf-Instance-ID | e975c46a-0d62-445a-88d2-fa478de425ac | UUID der WAF-Instanz |
| X-Original-IP | 5.1.73.100 | IP-Adresse des Clients |
| X-Waf-Edge-IP | 5.1.73.191 | Edge IP-Adresse der WAF |
| X-Forwarded-For | 5.1.73.100, 5.1.73.191 | IP-Adressen der Clients |
| X-Forwarded-Proto | https | Protokoll des Clients |
| X-Creoline-Request-Type | dynamic | Typ des Requests (static / dynamic) |
Allgemein
Die IP-Adresse des Clients wird in dem Request Header X-Original-IP mitgeliefert. Zusätzlich wird eine Verkettung aller IP-Adressen via X-Forwarded-For gesendet.
Shopware / Symfony
In Shopware oder Symfony muss zunächst eine framework.yaml konfiguriert werden, die die interne TRUSTED_PROXIES Konfiguration aktiviert.
# config/packages/framework.yaml
framework:
trusted_proxies: '%env(TRUSTED_PROXIES)%' Anschließend kann in der .env.local die TRUSTED_PROXIES Konfiguration eingerichtet werden.
# .env.local
TRUSTED_PROXIES=127.0.0.1,5.1.73.196/32,5.1.73.88/32,5.1.73.201/32,5.1.73.79/32,5.1.73.86/32 Tragen Sie in der Konfiguration TRUSTED_PROXIES die Quell-IP-Adresse des Load Balancers ein.