如何使用Sophos UTM保护您的Web服务器
控制防火墙中的门
(由Hans @pixabay)
在本文中,我将展示如何在企业级防火墙的非军事化区域中设置受保护的Web服务器。 我将使用可作为软件设备安装在“任何”硬件上的Sophos UTM网关 ,免费提供家庭和个人使用。
免责声明:我没有受过 Sophos或Astaro的雇佣,或以任何其他方式连接。 我检查了一些其他的防火墙分发:完全公开,还有社区版和企业版,但是当网络服务器暴露在互联网上时,他们并没有提供这么好的保护配置文件和可能性。 这就是为什么我选择使用Sophos UTM,尽管你需要注册使用它。
情景
我将使用具有以下IP地址的三个网络接口设置防火墙:
- eth0:WAN接口(以太网)
- eth1:带有DHCP的LAN 192.168.0.1/24
- eth2:DMZ 10.0.0.1/24没有DHCP和网络服务器10.0.0.10,应该在外部暴露。
下载
您可以在下载页面下载安装者ISO映像,无需注册。 这将导致您获得此ISO映像 。
从您可以看到的下载服务器的名称,Sophos UTM是前Astaro安全网关。 三年前,Sophos收购了位于卡尔斯鲁厄的德国防火墙公司Astaro,这是2009/2010年Gartners魔法象限的远见卓识。
Sophos UTM是免费的个人和家庭使用。 虽然它是免费的,你需要注册后获得用户许可!
安装
当引导CD时,您会被警告它会擦拭光盘。
当然,防火墙不会允许任何双引导方案;-)
在安装开始时,系统会要求您选择键盘设置和时区。
稍后可以选择哪些接口用于进行基于Web的设置。 我选择eth1作为内部(LAN)接口...
如果您不确定您的接口,则只能插入一根电缆。...并将IP地址设置为192.168.0.1/24。 您不需要为网关输入任何内容!
安装还包含封闭的源组件,您将被通知。 但安装没有这些组件的系统只会有限的意义!
是的,请使用我的硬盘! 硬盘被分区,RPM包被复制和安装。
安装完成后,您应该删除CD,重新启动后,您可以使用浏览器访问指定的网站(Port 4444!)。
在下一步中,您将执行防火墙的基本设置。 所以这是一个好主意,只能将防火墙连接到客户端机器,你可以用来设置系统!
设置
所以拿你的客户端机器并使用你的浏览器访问https://192.168.0.1:4444 。
虽然没有注意到,这些领域是强制性的。
选择一个好的密码
单击执行基本设置 。
你只需要按一下按钮! 你可能会错过信息,你必须等待40秒。 系统执行一些任务,例如根据您输入的主机名重新生成SSL证书。
这就是为什么你会再次获得证书警告,然后才能登录...
输入管理员凭据,并启动一个小型设置向导。
您可以安装备份文件,但我们正在进行全新的安装。
如果您已经拥有您的居家许可证文件,您可以在这里上传,但是如果没有许可证,我将继续进行,这将给我一个30天的测试期限。
我选择eth1,我的客户端连接到本地网络,其中的防火墙IP地址为192.168.0.1。
我喜欢防火墙为本地网络提供DHCP服务。 但是由于我可能想要使用一些固定的地址,我只能使用192.168.0.100-199作为IP池。
WAN接口将是我的eth0,这是我本地生产网络的上行链路。 这就是为什么我在这种情况下选择标准以太网接口 。
现在,您可以对防火墙规则做出一些选择,并定义应该允许本地网络中的客户端在互联网上访问的服务。
如果您可以扫描内容以阻止恶意代码和数据,则可以选择威胁防护。
您可以设置基于类别的webfilter,以阻止某些类别的网站。 这些网站是预先分类的,所以防火墙在获取网站之前已经知道了这个类别。
我选择阻止一些真正的邪恶内容,我不想看到,我想让我的孩子不知道 - 像金融/投资 !
如果有任何机会,您的内部用户仍然使用未加密的POP3电子邮件帐户,则可以扫描这些电子邮件的病毒。
更安全的解决方案可能是阻止未加密的POP3 ...
完美 - 我们完成并允许点击按钮完成 。
最后我们得到一个仪表板,概述了防火墙系统。
在左侧,您可以找到具有所有配置和操作的菜单。
在右边看到一些统计数据。 您可以看到eth0是我们的WAN接口,eth1是LAN接口。
eth2未使用,我们现在将其设置为我们的demiliterized区域。
设置DMZ
现在我们将一个新界面配置为非军事区。
转到接口和路由 ? 接口并单击新建接口
填写新界面的所有信息。 硬件eth2上的静态以太网接口,名称不错。 我选择IP地址10.0.0.1/24。
您不需要设置默认网关!单击 保存 。现在,新的界面列表还会显示eth2。 该小开关表示该接口暂时无效。 红色[Down]也是一个迹象。 您可以单击交换机以激活该接口。
对于我来说, [Down]指示没有更新,直到我更改为另一个选项卡并再次返回到此选项卡。
最后,您看到所有三个接口正在运行。
此时,您的局域网客户端应该能够ping网络服务器,反之亦然。 您的LAN客户端可以访问DMZ中的网络服务器,但是您的网络服务器无法访问局域网,完美!
此防火墙规则已设置,因为我们稍后配置了DMZ接口并配置(在向导运行期间)允许LAN客户端访问所有Web服务。
去网络保护 ? 防火墙 ,您将看到防火墙规则。
您可以看到规则Websurfing允许内部网络连接到所有Web服务器(包括DMZ)。 如果您希望DMZ与外界进行互动,则必须添加其他规则。 但我们跳过这一刻!
我们的网络服务器
如最初所说,我们希望将我们的网络服务器公开到互联网。 我假设您设置了一个监听IP 10.0.0.10并连接到防火墙的DMZ端口的Web服务器。
创建网络对象
首先我们需要创建一个Host对象。
去定义和用户 ? 网络定义 ,然后单击新建网络定义为我们的网络服务器创建一个对象。
新的网络定义是主机类型。 输入名称,如“外部Web服务器”和IP地址10.0.0.10。 单击保存 。
在网络对象的概述中,您可以看到“外部Web服务器”。
创建虚拟Web服务
将网络服务暴露给互联网的场景不称为DNAT,而是“虚拟Web服务”。 您可以在仪表板上搜索基于关键字的任何配置。
搜索“虚拟”通过子菜单Web应用程序防火墙返回Webserver保护 。
首先,您需要创建一个真正的网络服务器。 在“ 真实Web服务器 ”选项卡上,单击“ 新建Web服务器” 。
选择一个很好的名字,如“我们的网络服务器”,并通过拖放将网络对象“外部Webservier”添加到主机字段。 选择端口和类型(明文)。 单击保存 。
“Real Webserver”定义现在应该出现在Web服务器列表中。
现在,转到“虚拟Web服务器”选项卡,然后单击新建虚拟Web服务器 。
输入虚拟网络服务器的名称,如“我们的秘密数据”。 选择应提供真正的网络服务器内容的接口(WAN接口)。
输入域名 - 只有对此域名的请求才会转发给真实的网络服务器。 我输入了外部IP地址(WAN接口),因为我没有正确设置DNS。
最后,选择要转发请求的真正的Web服务器。 单击保存 。
虚拟网络服务器“我们的秘密数据”现在显示在虚拟Web服务器的列表中。 我们只需要打开这个虚拟网络服务器。
当打开(绿色开关)时,服务器现在可以从互联网访问。 您不需要定义任何防火墙规则。
防火墙配置文件
这是为了进一步试验使用Sophos UTM的全部功能。
在虚拟服务器中,您可以选择防火墙配置文件。
这可以在Webserver Protection中定义? Web应用防火墙 ? 防火墙配置文件和防火墙将执行Web应用程序防火墙功能。 它可以扫描客户端和您的Web服务器之间的流量,以获取病毒,阻止内容,强化输入表单等等。 您可以将模式从“拒绝”设置为“监视”。 但这是超出了这个方法的范围。 但随意玩,玩得开心!
获得家庭使用许可证
您可以在这里注册并获得免费的家庭许可证。 许可证文件将通过电子邮件发送给您。
在防火墙管理中搜索许可证菜单...
你看到试用许可期。
选择发给您的许可证文件和...
上传许可证文件,你会很好...
在未来三年。
结论
我们安装了企业级防火墙,并将其配置为允许对非军事区内的网络服务器进行受保护的访问。 我们只做了第一步,有可能。 随时试用电子邮件保护,病毒扫描或VPN等新功能。 下一个Howtos之一将处理与此防火墙的身份验证。
敬请关注!