Integration mit dem Ursprungsserver
Diese Seite behandelt zwei Integrationsphasen:
- Direkte Integration — CDN-Edge leitet direkt an den Ursprungsserver weiter (Basistests)
- F5 XC-Einfügung — F5 XC HTTP-Load-Balancer zwischen CDN und Ursprungsserver eingefügt (Sicherheits-Demo)
Beginnen Sie mit der direkten Integration, um die Basislinie zu etablieren, und fügen Sie dann F5 XC bei Bedarf ein.
Ursprungsserver-Referenz
Abschnitt betitelt „Ursprungsserver-Referenz“Die origin-server-Laborkomponente stellt anfällige Webanwendungen für Sicherheitstests bereit.
| Eigenschaft | Wert |
|---|---|
| Dokumentation | f5-sales-demo.github.io/origin-server |
| Repository | github.com/f5-sales-demo/origin-server |
| Standardport | 80 |
| Integritätsprüfung | GET /health |
Verfügbare Anwendungen
Abschnitt betitelt „Verfügbare Anwendungen“Rufen Sie den aktuellen Anwendungskatalog aus dem veröffentlichten Manifest des Ursprungsservers ab:
MANIFEST_URL=$(curl -sf https://api.github.com/repos/f5-sales-demo/origin-server/releases/latest \ | python3 -c "import sys,json; assets=json.load(sys.stdin).get('assets',[]); print(next((a['browser_download_url'] for a in assets if a['name']=='manifest.json'),''))")curl -sf "$MANIFEST_URL" | python3 -m json.toolFalls noch kein Release vorhanden ist, verwenden Sie direkt die Repository-Quelle:
curl -sf https://raw.githubusercontent.com/f5-sales-demo/origin-server/main/manifest.json | python3 -m json.toolDas Manifest listet alle Anwendungspfade, Integritätsprüfungen, Container-Images und Demo-Feature-Zuordnungen auf.
Anwendungspfade
Abschnitt betitelt „Anwendungspfade“| Pfad | Anwendung | Demo-Features |
|---|---|---|
/ | Startseite | — |
/health | Integritätsprüfung | — |
/juice-shop/ | OWASP Juice Shop | Web-App-Firewall (WAF), Bot-Abwehr, API-Sicherheit |
/dvwa/ | DVWA | Web-App-Firewall (WAF), Bot-Abwehr |
/vampi/ | VAmPI | API-Sicherheit |
/httpbin/ | httpbin | Diagnose |
/whoami/ | whoami | Header-Überprüfung |
/csd-demo/ | CSD Demo | Clientseitige Abwehr |
Phase 1: Direkte Integration (Basislinie)
Abschnitt betitelt „Phase 1: Direkte Integration (Basislinie)“┌──────────┐ ┌──────────────────────┐ ┌─────────────────────┐│ Client │────▶│ CDN Edge (NGINX) │────▶│ Origin Server ││ │ │ 20.65.90.112 │ │ 20.12.78.159 │└──────────┘ │ 67+ CDN headers │ │ Juice Shop, DVWA, │ │ Disk cache │ │ VAmPI, httpbin, │ └──────────────────────┘ │ whoami, CSD Demo │ └─────────────────────┘Ursprungsserver konfigurieren
Abschnitt betitelt „Ursprungsserver konfigurieren“Legen Sie die IP-Adresse des Ursprungsservers in der CDN-Edge-NGINX-Konfiguration fest:
ssh azureuser@<CDN_EDGE_IP>sudo sed -i 's|proxy_pass .*;|proxy_pass http://<ORIGIN_IP>;|' /etc/nginx/conf.d/cdn-edge.confsudo rm -rf /var/cache/nginx/cdn/*sudo nginx -t && sudo systemctl reload nginxOder legen Sie sie zur Terraform-Bereitstellungszeit über terraform.tfvars fest:
origin_server = "http://<ORIGIN_IP>"Alle Anwendungen überprüfen
Abschnitt betitelt „Alle Anwendungen überprüfen“Testen Sie jede Ursprungsanwendung über das CDN:
CDN=<CDN_EDGE_IP>
# Integritätsprüfung (CDN lokal)curl -sf "http://$CDN/health" | python3 -m json.tool
# Startseitecurl -sf -o /dev/null -w "/ : HTTP %{http_code}\n" "http://$CDN/"
# Juice Shopcurl -sf -o /dev/null -w "/juice-shop/ : HTTP %{http_code}\n" "http://$CDN/juice-shop/"
# DVWA (folgt Weiterleitung zur Anmeldung)curl -sf -o /dev/null -w "/dvwa/ : HTTP %{http_code}\n" -L "http://$CDN/dvwa/"
# VAmPI APIcurl -sf "http://$CDN/vampi/users/v1" | python3 -m json.tool | head -5
# httpbin-Header (zeigt CDN-Header als JSON)curl -sf "http://$CDN/httpbin/headers" | python3 -m json.tool | head -10
# whoami (zeigt ALLE Header, die der Ursprungsserver empfängt)curl -sf "http://$CDN/whoami/"
# CSD Democurl -sf -o /dev/null -w "/csd-demo/ : HTTP %{http_code}\n" "http://$CDN/csd-demo/"Alle Pfade sollten HTTP 200 zurückgeben (DVWA gibt 302 zurück, dann 200 nach Weiterleitung).
CDN-Header am Ursprungsserver überprüfen
Abschnitt betitelt „CDN-Header am Ursprungsserver überprüfen“Der /whoami/-Endpunkt zeigt jeden Header, den der Ursprungsserver empfängt. Bei Zugriff über das CDN werden alle 67+ Anbieter-Header angezeigt:
curl -sf "http://$CDN/whoami/"Stellen Sie sicher, dass diese wichtigen Header vorhanden sind:
| Anbieter | Header | Erwarteter Wert |
|---|---|---|
| Standard | X-Forwarded-For | <ihre_ip>, <cdn_edge_ip> |
| Akamai | True-Client-Ip | <ihre_ip> |
| Cloudflare | Cf-Connecting-Ip | <ihre_ip> |
| CloudFront | Cloudfront-Viewer-Country | US |
| Fastly | Fastly-Client-Ip | <ihre_ip> |
| Azure FD | X-Azure-Clientip | <ihre_ip> |
Logs gegenprüfen
Abschnitt betitelt „Logs gegenprüfen“Vergleichen Sie die Zugriffslogs auf beiden Servern, um den Datenverkehrsfluss zu überprüfen:
# CDN-Edge-Log — zeigt Ihre Client-IP als Quellessh azureuser@<CDN_EDGE_IP> "sudo tail -5 /var/log/nginx/access.log"
# Ursprungsserver-Log — zeigt CDN-Edge-IP als Quellessh azureuser@<ORIGIN_IP> "sudo tail -5 /var/log/nginx/access.log"Das Ursprungsserver-Log sollte die CDN-Edge-IP als verbindenden Client anzeigen, während die echte Client-IP in X-Forwarded-For und anbieterspezifischen Headern übertragen wird.
Cache-Verhalten
Abschnitt betitelt „Cache-Verhalten“# Erste Anfrage — MISS (vom Ursprungsserver abgerufen)curl -s -I "http://$CDN/whoami/" | grep X-Cache-Status
# Zweite Anfrage — HIT (aus CDN-Cache bereitgestellt)curl -s -I "http://$CDN/whoami/" | grep X-Cache-StatusPhase 2: F5 XC-Einfügung (Sicherheits-Demo)
Abschnitt betitelt „Phase 2: F5 XC-Einfügung (Sicherheits-Demo)“Fügen Sie nach den Basistests einen F5 XC HTTP-Load-Balancer zwischen CDN und Ursprungsserver ein:
┌──────────┐ ┌────────────────┐ ┌──────────────────┐ ┌─────────────────┐│ Client │────▶│ CDN Edge │────▶│ F5 XC HTTP LB │────▶│ Origin Server ││ │ │ (NGINX) │ │ WAF + Bot + API │ │ │└──────────┘ └────────────────┘ └──────────────────┘ └─────────────────┘- Erstellen Sie den F5 XC HTTP-Load-Balancer mit dem Ursprungsserver in seinem Ursprungspool
- Aktualisieren Sie den CDN-Edge, damit er auf die F5 XC VIP anstatt direkt auf den Ursprungsserver verweist:
ssh azureuser@<CDN_EDGE_IP>sudo sed -i 's|proxy_pass .*;|proxy_pass https://<F5XC_LB_VIP>;|' /etc/nginx/conf.d/cdn-edge.confsudo rm -rf /var/cache/nginx/cdn/*sudo nginx -t && sudo systemctl reload nginx- Überprüfen Sie die WAF-Durchsetzung über die gesamte Kette:
# SQL-Injection über CDN → F5 XC WAF sollte blockierencurl -I "http://$CDN/dvwa/vulnerabilities/sqli/?id=%27+OR+1%3D1--"
# Normale Anfrage sollte durchgelassen werdencurl -sf -o /dev/null -w "%{http_code}" "http://$CDN/juice-shop/"- Konfigurieren Sie den vertrauenswürdigen Client-IP-Header in F5 XC, um die echte Client-IP aus CDN-Headern zu lesen (z. B.
True-Client-IPfür Akamai-Simulation,CF-Connecting-IPfür Cloudflare-Simulation)
Multi-Komponenten-Architektur
Abschnitt betitelt „Multi-Komponenten-Architektur“| Komponente | Repository | Zweck |
|---|---|---|
| CDN-Edge (diese) | cdn-simulator | Caching, Anbieter-Header |
| Ursprungsserver | origin-server | Anfällige Webanwendungen |
| F5 XC-Konfiguration | Verschiedene (waf, api-protection, bot-*, usw.) | Sicherheitsrichtlinien |
Jede Komponente veröffentlicht Dokumentation, die KI-Assistenten lesen, um die Infrastruktur bereitzustellen. Der Ursprungsserver veröffentlicht ein Endpunkt-Manifest als GitHub-Release-Artefakt, das alle Anwendungspfade und Integritätsprüfungen auflistet.