Overview
Bài viết hướng dẫn cấu hình tính năng Web Server Protection trên thiết bị tường lửa Sophos XG với version mới nhất hiện nay là version 18. Với Web Server Protection, Sophos sẽ đứng ra đại diện giao tiếp trực tiếp với client bên ngoài Internet thay vì Web server như khi NAT. Điều này giúp bảo vệ Web server khỏi các cuộc tấn công bên ngoài
Sơ đồ kết nối
Hướng dẫn cấu hình
- Đăng nhập vào thiết bị Sophos XG bằng tài khoản Admin
- Đi đến mục SYSTEM -> Chọn mục Hosts and services -> Ở mục IP Host -> Tạo 1 host Web server với IP
- Đi đến mục PROTECT -> Chọn mục Web Server -> Ở mục Web servers -> Nhấn Add
- Đặt tên cho Web server
- Ở mục Host: Chọn host web server mà bạn đã tạo trước đó
- Ở mục Type: Chọn Plaintext (HTTP) nếu web của bạn không có SSL certificate, chọn Encrypted (HTTPS) nếu web của bạn có sử dụng SSL certificate
- Ở mục Port: Chọn port theo type của bạn chọn bên trên
- Ở mục Keep alive: Enable lên
- Ở mục Timeout: Để mặc định
-> Nhấn Save để lưu lại
- Đi đến mục SYSTEM -> Chọn mục Certificates -> Ở mục Certificates -> Nhấn Add -> Ở đây ta sẽ upload certificates của web server của bạn đang sử dụng (nếu web server của bạn có sử dụng SSL certificate)
- Đi đến mục PROTECT -> Chọn mục Rules and policies -> Ở mục Firewall rules -> Nhấn Add firewall rule -> Chọn New firewall rule
- Đặt tên cho rule
- Ở mục Rule position: Chọn Top
- Ở mục Rule group: Chọn None
- Ở mục Action: Chọn Protect with web server protection
- Ở mục Preconfigured template: Chọn None
- Ở mục Hosted address: Chọn cổng mạng mà bạn muốn NAT web server
- Chọn HTTPS nếu web server của bạn có SSL certificate
- Chọn Redirect HTTP nếu bạn muốn chuyển các request HTTP thành HTTPS
- Chọn HTTPS certificate nếu web server của bạn có SSL certificate và chọn certificate đã upload trước đó
- Ở mục Domains: Giữ nguyên mặc định
- Ở mục Protected servers: Chọn Web server đã tạo trước đó
- Ở mục Access permission: Giữ nguyên mặc định
- Ở mục Protection: Chọn các tính năng mà bạn muốn dùng để bảo vệ web server
- Ở mục Intrusion prevention: Chọn WAN to LAN
- Ở mục Traffic shaping: Chọn None hoặc quota giới hạn băng thông truy cập tới web server
- Chọn Pass host header nếu bạn muốn giữ nguyên request từ client đến web server
- Chọn Rewrite HTML nếu tên miền public của web server không giống với tên miền local của web server
- Chọn Disable compression support nếu muốn các traffic sẽ không bị nén khi truy cập tới web server