Назад | Перейти на главную страницу

Sophos получает доступ к веб-серверу из Интернета

У меня есть веб-сервер (IIS) за SOPHOS UTM 9

Я установил функцию брандмауэра веб-приложений. Это совершенно новая установка. Никакие другие настройки не редактировались. Когда я пытаюсь получить доступ к серверу из Интернета, я получаю в браузере сообщение об ошибке «Запрещено».

Любые идеи ?

Пожалуйста, уточните, что вы пытаетесь сделать. WAF - это функция, которая защищает внутренние веб-серверы. Таким образом, вы ДОЛЖНЫ правильно настроить его, чтобы получить доступ к вашему внутреннему серверу. Обычно для этого требуется следующее:

  • (необязательно) Добавьте новый IP-адрес к внешнему сетевому адаптеру, чтобы принимать соединения для внутренних веб-серверов.
  • Настройте DNS так, чтобы ваше внешнее полное доменное имя указывало на внешний IP-адрес брандмауэра, который вы выбрали для этого.
  • (необязательно) Если вы используете SSL, перейдите к управлению сертификатами и убедитесь, что вы загрузили сертификат X509 для своего веб-сайта, включая закрытый ключ (формат PKCS # 12), а также все промежуточные ЦС, включая корневой .
  • Определите новый реальный веб-сервер, содержащий имя хоста (или IP-адрес) и тип протокола (HTTP / HTTPS) внутреннего веб-сервера.
  • Создайте новый виртуальный веб-сервер, указав интерфейс (IP), который следует использовать, тип протокола (HTTP / HTTPS), номер внешнего порта для использования, имя (имена) внешнего домена (полное доменное имя вашего веб-сервера, как видно из снаружи), ссылку на реальный веб-сервер, который вы создали выше (вы можете использовать более одного для переключения при отказе / балансировки нагрузки) и конкретный тип межсетевого экрана, который необходимо выполнить. Как правило, вы выбираете «базовый» и проверяете как «Включить перезапись HTML», так и «передать заголовок хоста», по крайней мере, изначально.

Как только все это будет сделано, включите WAF, и он должен работать. Если это не так, то начните с создания нового профиля брандмауэра, выберите режим «монитора» и оставьте все непроверенными: это наиболее разрешающее правило брандмауэра, и проверьте его снова.

Если это не поможет, просмотрите журналы на своем веб-сервере: он получил запросы? Он ответил им действительным кодом ответа? И т.п.

Если все остальное не помогло, подробно опишите вашу настройку, включая то, какое приложение вы используете на веб-сервере (потому что некоторые просто не работают с Sophos WAF, например, OWA или веб-интерфейс Citrix).

Вам необходимо добавить домены на свой виртуальный веб-сервер в настройках брандмауэра веб-доступа, если вы не определите домен там по умолчанию, WAF выдаст сообщение об ошибке

Вы можете получить лучшие результаты, задав этот тип вопросов на ServerFault.

Две мысли:

1) Если Sophos полностью блокирует ваш трафик, вы можете проверить, открыты ли ваши веб-порты в наборе правил (80/443).

2) Вообще говоря, «запрещенное» сообщение - это не брандмауэр, а указывает на неправильную настройку IIS. Без дополнительной информации я не думаю, что можно оказать слишком много помощи.

Удачи.