В этой архитектуре для Вашего сервиса можно использовать только HTTP, поскольку брандмауэр не может проверять HTTPS-трафик.
Брандмауэр должен быть настроен на передачу трафика на ALB-X VIP.
ALB-X VIP, в свою очередь, будет настроен для балансировки нагрузки трафика на Ваш веб-кластер.
WAF, использующий внутренний IP-адрес
В этой архитектуре Вы можете указать HTTP и HTTPS.
HTTPS может быть сквозным, когда шифруются соединения от Клиента к ALB-X и от ALB-X к реальным серверам.
Трафик от ALB-X до внутреннего IP-адреса брандмауэра должен быть незашифрованным, чтобы его можно было проверить.
После того, как трафик прошел через брандмауэр, он направляется на другой VIP, который может либо повторно зашифровать трафик и распределить нагрузку на безопасные серверы, либо просто распределить нагрузку на незащищенные серверы по HTTP.
