我的团队在亚马逊AWS为客户build立了一个内联网门户,在这个门户上,我们使用了WebSockets来完成通知和其他小事情。 我们主要从服务器发送事件,但我们也使用它,所以客户端可以快速通知服务器的用户存在。
客户的要求之一是我们使用应用程序级别的防火墙来屏蔽恶意请求等等。 我们安装了Sophos UTM来处理这个问题。 对于HTTPstream量,这个效果很好。 但是,UTM不支持WebSocket,所以我们基本上必须将其configuration为只是盲目地代理请求。 由于我不完全理解的原因(即使经过几个小时的拆除),这是一个巨大的瓶颈,并且使得一切都变得缓慢(即使CPU和内存使用情况良好)。
然后,我们决定,如果UTM不是过滤stream量,那么让nginx来分割socketstream量,让UTM处理正常的stream量。 这个设置工作得很好,而且性能很棒。
但是,客户的安全人员担心WebSocketstream量没有被筛选。
因此,我有三个相关的问题:
这是一个问题吗? 如果不是的话,有什么我可以certificate的,比我能解释得更清楚些?
如果这是一个问题,有没有任何应用程序防火墙可以帮助我们? 我真的不知道我们会过滤什么,但希望这是防火墙的工作。
编辑:我是不正确的,我们实际上是在sockets上进行双向通信,虽然它仍然是相当微不足道的。 就是“用户在看这个标签”,“有用户确认通知”等等。
如果你需要一个支持Websocket的WAF,可以看看Wallarm它作为一个软件模块直接安装到NGINX中,并且能够从2.0版开始parsingWebsocket。 更多信息在这里