Hướng dẫn cấu hình tính năng WAF trên Sophos Firewall
Overview
Bài viết hướng dẫn cấu hình tính năng Web Application Protection trên thiết bị tường lửa Sophos XGS. Với WAF, Sophos firewall sẽ đứng ra đại diện giao tiếp trực tiếp với client bên ngoài Internet thay vì Web server như khi NAT. Điều này sẽ giúp bảo vệ Web server khỏi các cuộc tấn công bên ngoài mà vẫn đảm bảo các traffic truy cập web hoạt động ổn định
Đồng thời hỗ trợ quản lý tất cả lưu lượng truy cập đến, đi hoặc lưu lượng cho một ứng dụng hoặc dịch vụ. Sử dụng một loạt các chính sách đã được cấu hình để xác định xem là cho phép hay chặn việc giao tiếp. Việc kiểm soát việc thực thi các tệp hoặc mã hash của các ứng dụng cụ thể. Bằng cách này, ngay khi kẻ xâm xâm nhập vào mạng hoặc máy chủ, chúng cũng không thể thực thi được mã độc
- Hỗ trợ cấu hình firewall rule theo dạng implicit deny
- Hỗ trợ cấu hình firewall rule theo dạng explicit deny
- Hỗ trợ mở policy cho các ứng dụng chạy các port động
- Hỗ trợ mở policy cho các ứng dụng un-wellknown port mà không cần phải định nghĩa port cho từng ứng dụng
Sơ đồ mạng
Chi tiết sơ đồ mạng
IP WAN của thiết bị Sophos XGS có địa chỉ IP là 192.168.1.14
Ubuntu web server được nối với port 3 của thiết bị Sophos XGS có IP là 172.18.18.50
Máy client bên ngoài Internet có địa chỉ IP là 192.168.1.11
Tình huống cấu hình
Bài viết sẽ cấu hình tính năng WAF thay vì NAT để public web server ra bên ngoài, để người dùng bên ngoài có thể truy cập đến trang web, đồng thời bảo vệ web server khỏi các cuộc tấn công của kẻ xấu
Các bước cấu hình
- Cấu hình Ubuntu web server với IP local 172.18.18.50/24
- Cấu hình tính năng WAF trên Sophos XGS để public Ubuntu web server
- Thực hiện truy cập đến web server từ bên ngoài
- Kết quả
Hướng dẫn cấu hình
Cấu hình Ubuntu web server với IP local 172.18.18.50/24 có domain là www.test.com
Cấu hình tính năng WAF trên Sophos XGS để public Ubuntu web server
- Tạo host Ubuntu web server trên Sophos XGS
- Đi đếm mục SYSTEM -> Chọn mục Hosts and services -> Chọn mục IP host -> Nhấn Add
- Đặt tên là Ubuntu web server
- Ở mục IP version: Chọn IPv4
- Ở mục Type: Chọn IP
- Ở mục IP address: Nhập IP local của Ubuntu web server
Nhấn Save
Tạo web server trên Sophos XGS
Đi đến mục PROTECT -> Chọn mục Web server -> Chọn mục Web servers -> Nhấn Add
- Đặt tên Web_Test
- Ở mục Host: Chọn host Ubuntu web server đã tạo trước đó
- Ở mục Type: Chọn Plaintext (HTTP) vì ở đây web server không có SSL certificate (chọn Encrypted (HTTPS) nếu web của bạn có SSL certificate
- Ở mục Port: Giữ nguyên port mặc định
- Bật mục Keep alive
- Nhấn Save
- Đi đến mục PROTECT -> Chọn mục Rules and policies -> Chọn mục Firewall rules -> Nhấn Add firewall rule -> Chọn New firewall rule
- Đặt tên Public Test web
- Ở mục Rule position: Chọn Top
- Ở mục Rule group: Chọn None
- Ở mục Action: Chọn Protect with web server protection
- Ở mục Hosted address: Chọn cổng WAN mà client bên ngoài sẽ truy cập tới
- Ở mục Listening port: Chọn 80 nếu web server của bạn không có SSL certificate, chọn HTTPS cùng port 443 nếu web server của bạn có SSL certificate
- Nếu bạn chọn HTTPS: Chọn tiếp SSL certificate mà bạn đã import trước đó (xem hướng dẫn import ở phần dưới) **
- Ở mục Domains: Nhập domain của web
- Ở mục Web server: Chọn web server đã tạo trước đó
- Ở mục Advanced: Chọn các tính năng security mà bạn muốn bảo vệ cho web server
- Chọn Pass host header nếu bạn muốn giữ nguyên request từ client đến web server
- Chọn Rewrite HTML nếu tên miền public của web server không giống với tên miền local trên web server của bạn
- Chọn Disable compression support nếu muốn các traffic sẽ không bị nén khi truy cập tới web server
- Nhấn Save
** Hướng dẫn add SSL certificate của web server nếu có
- Download SSL certificate đã có trên Ubuntu web server về máy tính
- Đi đến mục SYSTEM -> Chọn mục Certificates -> Chọn mục Certificates -> Nhấn Add
- Upload 2 file gồm file certificate và file key
- Nhấn Save
Thực hiện truy cập đến web server từ bên ngoài
Do đây là môi trường lab của tôi và tên miền test.com chưa được đăng kí, nên bạn cần phải chỉnh sửa file hosts trên máy bên ngoài muốn truy cập vào web server
- Để chỉnh sửa file hosts trên máy Windows 10, đi đến thư mục C:\Windows\System32\drivers\etc
- Copy file hosts ra ngoài desktop và mở file hosts với notepad -> Sau đó thêm dòng như sau -> Nhấn Save
- Sau đó copy file hosts đã chỉnh sửa trên desktop để paste lại đè vào file hosts cũ ở thư mục C:\Windows\System32\drivers\etc
- Sau đó thực hiện truy cập tới domain test.com
Kết quả
- Kiểm tra truy cập
- Kiểm tra traffic trên Sophos XGS
- Kiểm tra log trên Sophos XGS