如何使用Sophos UTM保护您的Web服务器

如何使用Sophos UTM保护您的Web服务器


控制防火墙中的门
(由Hans @pixabay)

在本文中,我将展示如何在企业级防火墙的非军事化区域中设置受保护的Web服务器。 我将使用可作为软件设备安装在“任何”硬件上的Sophos UTM网关 ,免费提供家庭和个人使用。

免责声明:我没有受过 Sophos或Astaro的雇佣,或以任何其他方式连接。 我检查了一些其他的防火墙分发:完全公开,还有社区版和企业版,但是当网络服务器暴露在互联网上时,他们并没有提供这么好的保护配置文件和可能性。 这就是为什么我选择使用Sophos UTM,尽管你需要注册使用它。

情景

我将使用具有以下IP地址的三个网络接口设置防火墙:

  • eth0:WAN接口(以太网)
  • eth1:带有DHCP的LAN 192.168.0.1/24
  • eth2:DMZ 10.0.0.1/24没有DHCP和网络服务器10.0.0.10,应该在外部暴露。
在您的场景中,地址可能会有所不同,但您应该使用3个接口来建立一个专门的非易域化区域。

下载

您可以在下载页面下载安装者ISO映像,无需注册。 这将导致您获得此ISO映像

从您可以看到的下载服务器的名称,Sophos UTM是前Astaro安全网关。 三年前,Sophos收购了位于卡尔斯鲁厄的德国防火墙公司Astaro,这是2009/2010年Gartners魔法象限的远见卓识。

Sophos UTM是免费的个人和家庭使用。 虽然它是免费的,你需要注册后获得用户许可!

安装

当引导CD时,您会被警告它会擦拭光盘。

当然,防火墙不会允许任何双引导方案;-)

在安装开始时,系统会要求您选择键盘设置和时区。

稍后可以选择哪些接口用于进行基于Web的设置。 我选择eth1作为内部(LAN)接口...

如果您不确定您的接口,则只能插入一根电缆。

...并将IP地址设置为192.168.0.1/24。 您不需要为网关输入任何内容!

安装还包含封闭的源组件,您将被通知。 但安装没有这些组件的系统只会有限的意义!

是的,请使用我的硬盘! 硬盘被分区,RPM包被复制和安装。

安装完成后,您应该删除CD,重新启动后,您可以使用浏览器访问指定的网站(Port 4444!)。

在下一步中,您将执行防火墙的基本设置。 所以这是一个好主意,只能将防火墙连接到客户端机器,你可以用来设置系统!

设置

所以拿你的客户端机器并使用你的浏览器访问https://192.168.0.1:4444

虽然没有注意到,这些领域是强制性的。

选择一个好的密码

单击执行基本设置

你只需要按一下按钮! 你可能会错过信息,你必须等待40秒。 系统执行一些任务,例如根据您输入的主机名重新生成SSL证书。

这就是为什么你会再次获得证书警告,然后才能登录...

输入管理员凭据,并启动一个小型设置向导。

您可以安装备份文件,但我们正在进行全新的安装。

如果您已经拥有您的居家许可证文件,您可以在这里上传,但是如果没有许可证,我将继续进行,这将给我一个30天的测试期限。

我选择eth1,我的客户端连接到本地网络,其中的防火墙IP地址为192.168.0.1。

我喜欢防火墙为本地网络提供DHCP服务。 但是由于我可能想要使用一些固定的地址,我只能使用192.168.0.100-199作为IP池。

WAN接口将是我的eth0,这是我本地生产网络的上行链路。 这就是为什么我在这种情况下选择标准以太网接口

现在,您可以对防火墙规则做出一些选择,并定义应该允许本地网络中的客户端在互联网上访问的服务。

如果您可以扫描内容以阻止恶意代码和数据,则可以选择威胁防护。

您可以设置基于类别的webfilter,以阻止某些类别的网站。 这些网站是预先分类的,所以防火墙在获取网站之前已经知道了这个类别。

我选择阻止一些真正的邪恶内容,我不想看到,我想让我的孩子不知道 - 像金融/投资

如果有任何机会,您的内部用户仍然使用未加密的POP3电子邮件帐户,则可以扫描这些电子邮件的病毒。

更安全的解决方案可能是阻止未加密的POP3 ...

完美 - 我们完成并允许点击按钮完成

最后我们得到一个仪表板,概述了防火墙系统。

在左侧,您可以找到具有所有配置和操作的菜单。

在右边看到一些统计数据。 您可以看到eth0是我们的WAN接口,eth1是LAN接口。

eth2未使用,我们现在将其设置为我们的demiliterized区域。

设置DMZ

现在我们将一个新界面配置为非军事区。

转到接口和路由接口并单击新建接口

填写新界面的所有信息。 硬件eth2上的静态以太网接口,名称不错。 我选择IP地址10.0.0.1/24。

您不需要设置默认网关!单击 保存



现在,新的界面列表还会显示eth2。 该小开关表示该接口暂时无效。 红色[Down]也是一个迹象。 您可以单击交换机以激活该接口。

对于我来说, [Down]指示没有更新,直到我更改为另一个选项卡并再次返回到此选项卡。

最后,您看到所有三个接口正在运行。

此时,您的局域网客户端应该能够ping网络服务器,反之亦然。 您的LAN客户端可以访问DMZ中的网络服务器,但是您的网络服务器无法访问局域网,完美!

此防火墙规则已设置,因为我们稍后配置了DMZ接口并配置(在向导运行期间)允许LAN客户端访问所有Web服务。

网络保护防火墙 ,您将看到防火墙规则。

您可以看到规则Websurfing允许内部网络连接到所有Web服务器(包括DMZ)。 如果您希望DMZ与外界进行互动,则必须添加其他规则。 但我们跳过这一刻!

我们的网络服务器

如最初所说,我们希望将我们的网络服务器公开到互联网。 我假设您设置了一个监听IP 10.0.0.10并连接到防火墙的DMZ端口的Web服务器。

创建网络对象

首先我们需要创建一个Host对象。

定义和用户网络定义 ,然后单击新建网络定义为我们的网络服务器创建一个对象。

新的网络定义是主机类型。 输入名称,如“外部Web服务器”和IP地址10.0.0.10。 单击保存

在网络对象的概述中,您可以看到“外部Web服务器”。

创建虚拟Web服务

将网络服务暴露给互联网的场景不称为DNAT,而是“虚拟Web服务”。 您可以在仪表板上搜索基于关键字的任何配置。

搜索“虚拟”通过子菜单Web应用程序防火墙返回Webserver保护

首先,您需要创建一个真正的网络服务器。 在“ 真实Web服务器 ”选项卡上,单击“ 新建Web服务器”

选择一个很好的名字,如“我们的网络服务器”,并通过拖放将网络对象“外部Webservier”添加到主机字段。 选择端口和类型(明文)。 单击保存

“Real Webserver”定义现在应该出现在Web服务器列表中。

现在,转到“虚拟Web服务器”选项卡,然后单击新建虚拟Web服务器

输入虚拟网络服务器的名称,如“我们的秘密数据”。 选择应提供真正的网络服务器内容的接口(WAN接口)。

输入域名 - 只有对此域名的请求才会转发给真实的网络服务器。 我输入了外部IP地址(WAN接口),因为我没有正确设置DNS。

最后,选择要转发请求的真正的Web服务器。 单击保存

虚拟网络服务器“我们的秘密数据”现在显示在虚拟Web服务器的列表中。 我们只需要打开这个虚拟网络服务器。

当打开(绿色开关)时,服务器现在可以从互联网访问。 您不需要定义任何防火墙规则。

防火墙配置文件

这是为了进一步试验使用Sophos UTM的全部功能。

在虚拟服务器中,您可以选择防火墙配置文件。

这可以在Webserver Protection中定义? Web应用防火墙防火墙配置文件和防火墙将执行Web应用程序防火墙功能。 它可以扫描客户端和您的Web服务器之间的流量,以获取病毒,阻止内容,强化输入表单等等。 您可以将模式从“拒绝”设置为“监视”。 但这是超出了这个方法的范围。 但随意玩,玩得开心!

获得家庭使用许可证

您可以在这里注册并获得免费的家庭许可证。 许可证文件将通过电子邮件发送给您。

在防火墙管理中搜索许可证菜单...

你看到试用许可期。

选择发给您的许可证文件和...

上传许可证文件,你会很好...

在未来三年。

结论

我们安装了企业级防火墙,并将其配置为允许对非军事区内的网络服务器进行受保护的访问。 我们只做了第一步,有可能。 随时试用电子邮件保护,病毒扫描或VPN等新功能。 下一个Howtos之一将处理与此防火墙的身份验证。

敬请关注!

赞(52) 打赏
未经允许不得转载:优客志 » 系统运维
分享到:

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏