This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Publishing Webserver with Sophos UTM

Hello. 

We had an old ISA Server from Microsoft to publish our Servers and replaced it now with a Sophos UTM. I’m not really a firewall professional, so I thought maybe there is someone in this forum who can take a look at my configuration and give me some advice if I did something wrong. Thanks in advance. 

In the DMZ we have a server for our websites. 

Definitions

In Interface and Routing I have an Interface DMZ and in Definitions & Users there are the three Definitions DMZ (Address), DMZ (Broadcast) and DMZ (Network).

Web Application Firewall

In Real Webservers there is my webserver with port 80 and in Virtual Webservers there is my webserver with all the corresponding domains and the Firewall Profile Basic Protection. 

Intrusion Prevention

I’m not sure if that is correct, but I added the DMZ (Network) to the Local networks, so the Intrusion Prevention is working for my webserver. 

NAT

I don't know if NAT is required if you publish a webserver over the web application firewall but it didn’t work before I enabled it. So I made a masquerading rule from DMZ to one of the external interfaces and one from DMZ to the Internal Interface.
 
Firewall

I enabled two firewall rules. One is from the internal network to the webserver with the services for administrating the webserver with putty over ssh and over a defined port to the installed webmin. The second rule is from the webserver to Internet IPv4 with the services DNS NTP HTTP HTTPS ping and SMTP, so the webserver can get his updates from his repositories and can send Mails from his web forms. 

I hope, I didn’t made something wrong and we’re safe. But I would feel more comfortable if someone of you could confirm this. Thanks.


This thread was automatically locked due to age.
Parents
  • Maybe these settings are also interesting for others who are new with sophos utm. I documented them in my blog (I'm afraid, it is in german) Webserver über Sophos UTM veröffentlichen | ictschule

    Christian, ich gebe zu dass ich Deutsch spreche, but I believe that your blog post about publishing a webserver with WAF is so clearly illustrated that it will be helpful to anyone that knows enough English to read your screen captures.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Christian, ich gebe zu dass ich Deutsch spreche

    And I'm struggling so much to get some sentences in English...

    I found a setting that I forgot to mention and I'm not sure if it's necessary. Under NAT I have a DNAT rule for traffic from: any, using Service: HTTP, going to: one of the external network addresses, change the destination to: webserver host. 

    If I disable this rule, the websites don’t work anymore, so it looks like it is needed. But I thought I can use either WAF or a DNAT rule. At the moment it looks like I need both of them. For publishing Exchange over WAF I didn’t need a DNAT rule, so I’m not sure, if I did something wrong with this one.
Reply
  • Christian, ich gebe zu dass ich Deutsch spreche

    And I'm struggling so much to get some sentences in English...

    I found a setting that I forgot to mention and I'm not sure if it's necessary. Under NAT I have a DNAT rule for traffic from: any, using Service: HTTP, going to: one of the external network addresses, change the destination to: webserver host. 

    If I disable this rule, the websites don’t work anymore, so it looks like it is needed. But I thought I can use either WAF or a DNAT rule. At the moment it looks like I need both of them. For publishing Exchange over WAF I didn’t need a DNAT rule, so I’m not sure, if I did something wrong with this one.
Children
No Data