Présentation de WAF
Web Application Firewall ou « Reverse Proxy » permet d’agir sur les règles de trafic entrants. Le fonctionnement est similaire au proxy que l’on peut mettre en place pour la sortie Internet en entreprise.
Pour publier un site internet derrière un firewall sophos vous avez deux solutions :
Le transfert de port (port forwarding) : l’ensemble du trafic arrivant sur un ip publique sur le port 80 est transféré vers votre serveur web en DMZ
WAF : le firewall va écouter sur une ip publique et intercepter le trafic à destination de votre site en analysant la trame en cherchant la destination sous la forme d’un nom DNS du type www.monsiteweb.com:80/443. Si la matching se fait, le firewall va traiter la demande en agissant comme un proxy, il va analyser la demande (antivirus / sécurité anti-injection) ensuite faire la requête vers le serveur web et transfèrer la réponse au client.
En plus des options de sécurité le WAF peut faire du load balancing et de la réécriture d’adresse.
Mise en place d’une règle sur un Sophos XG
1. Il faut dans un premier temps déclarer votre serveur WEB au firewall. Via le menu de navigation cliquer sur Serveur WEB 1 et cliquer sur le bouton Ajouter 2.
2. Déclarer le serveur à l’aide du formulaire 1 et cliquer sur Enregistrer 2.
3. Il faut maintenant ajouter les règles, Via le menu cliquer sur Pare-feu 1 -> Ajouter une règle de pare-feu 2 -> Règle d’application métier 3.
4. Remplir le formulaire d’ajout de règle :
1 : Donner un nom à votre règle.
2 : Sélectionner le port « physique » d’écoute de la règle, normalement votre WAN.
3 : Ajouter votre domaine à intercepter (www.monsiteweb.com).
4 : Sélectionner le serveur Web que vous avez créé.
5 : Cocher la case « Ignorer l’en-tête de l’hôte » *
6 : Cliquer sur le bouton Enregistrer
5. Vous deviez voir la règle dans la liste 1.
Ignorer l’en-tête de l’hôte : si vous ne cochez pas cette case, la requête web sera envoyée à votre serveur avec le nom déclaré lors de sa création. Si votre site est dans un vhost vous n’aurez pas le bon site en retour.
Pour ne pas avoir à cocher la case, il aurait fallu mettre en nom de votre serveur web, le nom dns de votre site
Noter également que le firewall peut réécrire l’adresse de votre site, ce qui permet de le publier avec une adresse dns privée en interne.