Sophos XG : Ajouter une règle WAF

Présentation de WAF

Web Application Firewall ou « Reverse Proxy » permet d’agir sur les règles de trafic entrants. Le fonctionnement est similaire au proxy que l’on peut mettre en place pour la sortie Internet en entreprise.

Pour publier un site internet derrière un firewall sophos vous avez deux solutions :

Le transfert de port (port forwarding) : l’ensemble du trafic arrivant sur un ip publique sur le port 80 est transféré vers votre serveur web en DMZ

WAF : le firewall va écouter sur une ip publique et intercepter le trafic à destination de votre site en analysant la trame en cherchant la destination sous la forme d’un nom DNS du type www.monsiteweb.com:80/443. Si la matching se fait, le firewall va traiter la demande en agissant comme un proxy, il va analyser la demande (antivirus / sécurité anti-injection) ensuite faire la requête vers le serveur web et transfèrer la réponse au client.

En plus des options de sécurité le WAF peut faire du load balancing et de la réécriture d’adresse.

Mise en place d’une règle sur un Sophos XG

1. Il faut dans un premier temps déclarer votre serveur WEB au firewall. Via le menu de navigation cliquer sur Serveur WEB 1 et cliquer sur le bouton Ajouter 2.

SOPHOS XG : déclaration du serveur WEB

2. Déclarer le serveur à l’aide du formulaire 1 et cliquer sur Enregistrer 2.

SOPHOS XG : Formulaire serveur WEB

3. Il faut maintenant ajouter les règles, Via le menu cliquer sur Pare-feu 1 -> Ajouter une règle de pare-feu 2 -> Règle d’application métier 3.

Sophos XG : ajouter une relge WAF

4. Remplir le formulaire d’ajout de règle :

Formulaire d'ajout d'une regle

1 : Donner un nom à votre règle.
2 : Sélectionner le port « physique » d’écoute de la règle, normalement votre WAN.
3 : Ajouter votre domaine à intercepter (www.monsiteweb.com).
4 : Sélectionner le serveur Web que vous avez créé.
5 : Cocher la case « Ignorer l’en-tête de l’hôte » *
6 : Cliquer sur le bouton Enregistrer

5. Vous deviez voir la règle dans la liste 1.

Regle dans la liste

Ignorer l’en-tête de l’hôte : si vous ne cochez pas cette case, la requête web sera envoyée à votre serveur avec le nom déclaré lors de sa création. Si votre site est dans un vhost vous n’aurez pas le bon site en retour.

Pour ne pas avoir à cocher la case, il aurait fallu mettre en nom de votre serveur web, le nom dns de votre site

Noter également que le firewall peut réécrire l’adresse de votre site, ce qui permet de le publier avec une adresse dns privée en interne.



Related Posts


Sophox XG : ajouter un vlan

Dans cet article, je vais vous expliquer comment déclarer un vlan sur votre firewall Sophos XG. Avant de le créer sur le firewall, vous devez vous assurez que le port du switch où est branché le firew

SOPHOS XG : accès sans client

Présentation de l'accès sans client L'accès sans client sur les firewalls Sophos XG pemet de mettre en place des connexions aux serveurs de l'entreprise sans client VPN en passant directement par un n

Sophos XG : routage de requêtes DNS

Présentation Le routage des requêtes DNS est similaire à un redirecteur conditionnel sous Windows, celui-ci permet d'indiquer pour une zone DNS le ou les serveurs à contacter pour résoudre un enregist

Retour haut de page