Overview
Bài viết hướng dẫn cách cấu hình tính năng Web Server Protection trên thiết bị tường lửa Sophos XG, với tính năng này, chúng ta có thể bảo vệ web server của chúng ta một cách toàn diện, Sophos XG sẽ đứng ra làm đại diện giao tiếp với các request thay vì web server khi chúng ta NAT, điều đó làm cho web server của chúng ta ít sự tấn công từ bên ngoài hơn.
Sơ đồ kết nối
Hướng dẫn cấu hình
- Đăng nhập vào Sophos XG bằng tài khoản Admin
- Đi đến mục SYSTEM -> Chọn mục Hosts and services -> Ở mục IP Host -> Tạo 1 host Web server với IP
- Đi đến mục PROTECT -> Chọn mục Web Server -> Ở mục Web servers -> Nhấn Add
- Đặt tên cho Web server
- Ở mục Host: Chọn host web server mà bạn đã tạo trước đó
- Ở mục Type: Chọn Plaintext (HTTP) nếu web của bạn không có SSL certificate, chọn Encrypted (HTTPS) nếu web của bạn có sử dụng SSL certificate
- Ở mục Port: Chọn port theo type bạn chọn bên trên
- Ở mục Keep alive: Enable lên
- Ở mục Timeout: Để mặc định
-> Nhấn Save để lưu lại
- Đi đến mục SYSTEM -> Chọn mục Certificates -> Ở mục Certificates -> Nhấn Add -> Ở đây ta sẽ upload certificates của web server của bạn đang sử dụng (nếu web server của bạn có sử dụng SSL certificate)
- Đi đến mục SYSTEM -> Chọn mục Firewall -> Nhấn Add firewall rule -> Chọn Business application rule
- Đặt tên cho rule
- Ở mục Hosted address: Chọn cổng WAN mà bạn muốn public web
- Chọn HTTPS nếu web server của bạn có sử dụng SSL certificate
- Chọn Redirect HTTP nếu bạn muốn khi người dùng truy cập web bằng HTTP sẽ tự động chuyển thành HTTPS
- Ở mục Listening port: Chọn port theo web server mà bạn đã chọn
- Ở mục HTTPS certificate: Chọn certificate của web server mà bạn đã upload trước đó
- Ở mục Domain: Giữ nguyên mặc định
- Ở mục Protected server(s): Chọn Web server đã tạo trước đó
- Ở mục Access permission: Ở đây tôi để mặc định
- Ở mục Protection: Chọn phương thức bảo vệ mà bạn muốn dùng để bảo vệ web server
- Ở mục Intrusion prevention: Chọn WAN to LAN để bảo vệ cho web server
- Ở mục Traffic shaping: Chọn quota cho traffic từ ngoài internet vào web server nếu bạn muốn
- Chọn Pass host header nếu bạn muốn giữ nguyên request từ client đến web server
- Chọn Rewrite HTML nếu tên miền public của web server không giống với tên miền local của web server
- Chọn Disable compression support nếu muốn các traffic sẽ không bị nén khi truy cập tới web server
Ad có thể hướng dẫn e cách cấu hình trên con Sophos XG là chỉ có 1 số địa chỉ ip hoặc 1 số địa chỉ MAC nào đó mới truy cập được vào trang cấu hình của con firewall k ạ
Chào bạn, mình sẽ làm bài viết về yêu cầu này của bạn nhé. Hãy thường xuyên theo dõi các bài viết để cập nhật nhé. Cảm ơn.