Appuyer sur "Entrée" pour passer au contenu

Sophos XG : Ajouter une règle WAF

0

Présentation de WAF

Web Application Firewall ou « Reverse Proxy » permet d’agir sur les règles de trafic entrants. Le fonctionnement est similaire au proxy que l’on peut mettre en place pour la sortie Internet en entreprise.

Pour publier un site internet derrière un firewall sophos vous avez deux solutions :

Le transfert de port (port forwarding) : l’ensemble du trafic arrivant sur un ip publique sur le port 80 est transféré vers votre serveur web en DMZ

WAF : le firewall va écouter sur une ip publique et intercepter le trafic à destination de votre site en analysant la trame en cherchant la destination sous la forme d’un nom DNS du type www.monsiteweb.com:80/443. Si la matching se fait, le firewall va traiter la demande en agissant comme un proxy, il va analyser la demande (antivirus / sécurité anti-injection) ensuite faire la requête vers le serveur web et transfèrer la réponse au client.

En plus des options de sécurité le WAF peut faire du load balancing et de la réécriture d’adresse.

Mise en place d’une règle sur un Sophos XG

1. Il faut dans un premier temps déclarer votre serveur WEB au firewall. Via le menu de navigation cliquer sur Serveur WEB (1) et cliquer sur le bouton Ajouter (2).
SOPHOS XG : déclaration du serveur WEB

2. Déclarer le serveur à l’aide du formulaire (1) et cliquer sur Enregistrer (2).
SOPHOS XG : Formulaire serveur WEB

3. Il faut maintenant ajouter les règles, Via le menu cliquer sur Pare-feu (1) -> Ajouter une règle de pare-feu (2) -> Règle d’application métier (3).
Sophos XG : ajouter une relge WAF

4. Remplir le formulaire d’ajout de règle :
Formulaire d'ajout d'une regle

(1) : Donner un nom à votre règle.
(2) : Sélectionner le port « physique » d’écoute de la règle, normalement votre WAN.
(3) : Ajouter votre domaine à intercepter (www.monsiteweb.com).
(4) : Sélectionner le serveur Web que vous avez créé.
(5) : Cocher la case « Ignorer l’en-tête de l’hôte » *
(6) : Cliquer sur le bouton Enregistrer

5. Vous deviez voir la règle dans la liste.
Regle dans la liste

 

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *