Configuration du pare-feu d'application Web (WAF)
- Last Updated: November 21, 2025
- 4 minute read
- MOVEit Transfer
- Version 2026
- Version 2025
- Documentation
Cette rubrique fournit des directives de configuration pour les sites qui déploient un pare-feu d'application Web (WAF) devant MOVEit Transfer. Le principal objectif d'un WAF est de bloquer les requêtes HTTP malformées avant qu'elles ne nécessitent jamais d'être traitées par MOVEit Transfer.
Les WAF fournissent une couche supplémentaire d'assurance que le trafic Web tel que les requêtes REST API et WebUI arrive comme prévu. Les requêtes HTTP qui sont bien formées et conformes aux politiques de configuration actuelles du WAF sont autorisées, tandis que le trafic mal formé ou inattendu est bloqué.
Configurer un WAF pour fonctionner avec MOVEit Transfer
Les administrateurs de MOVEit Transfer devraient collaborer avec leur équipe réseau et les représentants de leur fournisseur de WAF pour ajuster correctement les paramètres de WAF en fonction de leurs modèles de trafic et de protocoles particuliers. Les WAF de différents fournisseurs nécessiteront des paramètres différents pour MOVEit Transfer. Ci-dessous figurent des éléments qui doivent généralement être traités sur une base de protocole.
HTTPS
Lors de la configuration de votre WAF tiers pour HTTPS, prenez en compte les éléments suivants :
-
Le WAF a besoin du certificat complet de transfert MOVEit
Le certificat complet (public et privé) du serveur MOVEit Transfer devra être fourni au WAF pour permettre le déchiffrement des données de requête HTTPS/TLS.
-
Méthodes HTTP que le WAF doit inclure.
Les méthodes HTTP GET, POST, HEAD, OPTIONS, PUT, PATCH et DELETE doivent toutes être autorisées pour MOVEit Transfer.
-
Paramètres de la méthode HTTP POST.
Certains WAF ont des limitations sur la taille totale d'un message POST ou des délais d'attente intégrés qui peuvent affecter les téléchargements de fichiers volumineux. Ces paramètres affectent le plus souvent les téléchargements de fichiers qui utilisent le point de terminaison MOVEitISAPI dans MOVEit. (Par exemple, MOVEit Automation, MOVEit EZ ou des applications personnalisées écrites avec les modules API .NET ou Java de MOVEit Transfer.)- Les paramètres POST doivent être configurés pour accueillir la taille de fichier la plus grande qui pourrait être téléchargée via HTTPS.
- Les téléchargements de fichiers volumineux via l'interface utilisateur qui utilisent les API RESTful MOVEit doivent également être testés.
SFTP
-
Option 1 : Configurer le trafic sur le port 22 pour qu'il passe par le WAF sans inspection.
-
Option 2 : Si le passage direct n'est pas autorisé par le fournisseur de WAF, alors une URL supplémentaire devra être fournie spécifiquement pour le trafic SFTP.
-
Par exemple, si l'URL MOVEit Transfer de votre entreprise est
files.example.com, vous pourriez choisirsftp.example.comcomme URL dédiée à l'accès SFTP.
-
-
Option 3 : Utilisez un répartiteur de charge avant le WAF pour envoyer le trafic SFTP vers les nœuds MOVEit Transfer et envoyer uniquement le trafic HTTPS vers le WAF.
-
Option 4 : Désactivez SFTP s'il n'est pas utilisé par votre organisation et désactivez le port 22.
FTPS
-
Option 1 : Configurez le trafic sur le port 21 ou 990 pour qu'il passe par le WAF.
-
Si vous utilisez le mode passif FTP, les ports de haute plage définis dans l'utilitaire de configuration MOVEit Transfer devront également être autorisés à passer à travers le WAF. Les ports de plage élevée par défaut pour MOVEit Transfer sont de 3000 à 3100. Ce paramètre doit être vérifié en contrôlant les ports de la plage passive FTP dans l'utilitaire de configuration de MOVEit Transfer.
-
-
Option 2 : Si le passage direct n'est pas autorisé par le fournisseur de WAF, alors une URL supplémentaire devra être fournie spécifiquement pour le trafic FTPS.
-
Par exemple, si l'URL MOVEit Transfer de votre entreprise est
files.example.com, vous pourriez choisirftp.example.comcomme URL dédiée à l'accès SFTP.
-
-
Option 3 : Utilisez un répartiteur de charge avant le WAF pour envoyer le trafic FTPS vers les nœuds MOVEit Transfer et envoyer uniquement le trafic HTTPS vers le WAF.
-
Option 4 : Désactivez FTPS s'il n'est pas utilisé par votre organisation et désactivez les ports 21 et 990.
Problèmes courants liés à la mise en œuvre des WAF
-
Échecs de téléchargement de fichiers volumineux avec MOVEit Automation, MOVEit EZ ou des applications personnalisées utilisant l'API MOVEit Transfer ou l'API Java
-
Ce problème a tendance à être dépendant du fournisseur. Certains fournisseurs ont des limites de taille POST ou des délais d'attente qui doivent être reconfigurés, et d'autres fournisseurs modifient les en-têtes de requête POST MOVEit d'une manière que MOVEit Transfer ne prend pas en charge.
-
Ce problème affectera très probablement les téléchargements de fichiers qui utilisent le MOVEitISAPI pour le téléchargement de fichiers. Il devrait être possible de voir si le téléchargement utilise MOVEitISAPI en consultant soit les journaux WAF, soit les journaux IIS pour la requête qui échoue.
-
Résolutions potentielles :
-
Modifier les tailles maximales de POST et les délais d'attente en fonction de la taille de fichier la plus grande et du temps de téléchargement le plus long prévu.
-
Certaines implémentations de WAF modifient l'en-tête HTTP
transfer-encoding: chunkedqui est requis par l'interface MOVEitISAPI de MOVEit Transfer. En général, cela doit être vérifié avec le fournisseur de WAF et peut nécessiter que le fournisseur de WAF fournisse une solution de contournement ou une configuration alternative du WAF.
-
-
-
Performances
-
L'introduction d'un WAF dans le chemin du trafic ajoutera toujours un certain degré de latence et a le potentiel d'avoir un effet mesurable sur la performance globale de MOVEit Transfer. C'est parce que le WAF doit déchiffrer, inspecter, rechiffrer et transmettre les données qui le traversent. Si la performance est affectée négativement, collaborez avec votre fournisseur de WAF pour ajuster le comportement du WAF.
-