Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 5754 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

is WAF is supported in bridge mode ?

agungw
Hi All,

Need you all expertise on this.

We have facing this issue for the past two weeks, our WAF seems not worked as it should.
Our WAF logs show nothing, even when i try to attack with some small SQL injection script or XSS [:S]. 

I'm running Astaro UTM ASG Software firmware version 9.105-9.
Our current setup is
Internet  Cisco Asa  Sophos UTM  Internal,
internal and Sophos UTM share the same gateway.

My question, is WAF is supported in bridge mode ?

Thanks in advance

Regards,
Agung


This thread was automatically locked due to age.
  • 0
    In your setup scheme there seems no internal web server?

    The WAF does not work in transparent mode if that's what you mean. The Cisco ASA must somehow redirect the requests to the UTM - not directly to the server.
  • 0 in reply to trollvottel
    Hi Mario,

    Thanks for your answer.

    Our internal web server is located in Internal as in my scheme, sorry to mention that basically our Internal is where all the server farm including web server is reside [:D].

    Our NAT rule is all managed by Cisco ASA, so the scheme wil be,
    Internet  NAT  Cisco ASA  NAT  Internal.
    Internal is where the Sophos UTM and web server also reside.

    Based on your explanation, seems i cannot get WAF works using this bridged/transparent mode [:(] ?

    How can i redirect all request from Cisco ASA to UTM, while all NAT's rule is managed in Cisco ASA [:S]?

    Thanks much

    Regards,
    Agung
  • 0
    Hi,

    NAT the http traffic on the Cisco to the UTM.

    Disable bridging on the UTM. If you don't need both NICs, set the UTM up in single-NIC mode.

    Barry
  • 0 in reply to BarryG
    Hi Barry,

    NAT the traffic on Cisco ASA to UTM means I have to make alias web server IP Address in the UTM?

    Actually I need two NICs in the UTM to serve incoming traffic from ASA and use the other NIC to forward to our Core Switch.

    How does it looks?
  • 0
    Yes, you have to have additional addresses on the UTM interface. 

    I agree that it appears that you can use a single interface. 

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi Bob,

    Glad you come to my thread.
    Been searching for your rules in this forum before i posted, but cannot found it [:(].

    Well, based on some answer here, it seems i need to change my topology to get WAF works as it should.

    1. WAF doesn't work in bridge/transparent mode
    2. Need to add alias IP Address for Web Server in UTM -> NAT ?
        i think it will get the UTM to act as a reverse proxy ?
    3. Setup the UTM in single NIC mode
    4. NAT the http traffic from Cisco ASA to the UTM

    Can somebody please verify my conclusion as above ?

    Thank you
    Agung
  • 0
    Hi,

    1. correct

    2. disable one NIC.
    add "additional IP addresses" on the primary NIC, under Networking - Interfaces
    Don't do ANY NAT on the UTM.

    3. see above

    4. yes

    and setup the WAF on the UTM to handle all the web sites' domains.

    Barry
  • 0 in reply to BarryG
    Hi Barry,

    Well...i think that's a wrap for now.

    I will bring this on the meeting with my reseller.

    Thanks much for all of you helps on this.

    Regards,
    Agung
  • 0
    In fact, you don't need a second NAT, just different IPs for the Virtual Server and the Real Server.  There's no limitation requiring them to be in separate subnets.  For example, you could have a single interface with subnet 172.16.0.0/15 where you have Virtual Servers assigned IPs in 172.16.0.0/16 and Real Servers in 172.17.0.0/16.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi All,

    Just want to update and sorry for the late comeback.

    We change the topology based on this thread discussion, and it works !.

    The next is problem is some of our HTTP/SSL certificates that Sophos seems
    can't handle it.
    Think i'm going to search this forum first about this.

    Thank you
    Agung
Unfiltered HTML