В этой архитектуре для вашего сервиса можно использовать только HTTP, поскольку брандмауэр не может проверять HTTPS-трафик.
Брандмауэр должен быть настроен на передачу трафика на ALB-X VIP.
ALB-X VIP, в свою очередь, будет настроен на балансировку нагрузки трафика для вашего веб-кластера.
WAF использует внутренний IP-адрес
В этой архитектуре можно указать HTTP и HTTPS.
HTTPS может быть сквозным, когда шифруются соединения от клиента к ALB-X и от ALB-X к реальным серверам.
Трафик с ALB-X на внутренний IP-адрес брандмауэра должен быть незашифрованным, чтобы его можно было проверить.
После того, как трафик прошел через брандмауэр, он перенаправляется на другой VIP, который может либо повторно зашифровать трафик и распределить нагрузку на защищенные серверы, либо просто распределить нагрузку на незащищенные серверы по HTTP.
