Guest User!

You are not Sophos Staff.

Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 19 replies
  • Answers 1 answer
  • Subscribers 6 subscribers
  • Views 1783 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WAF und FQDN

Team -IT

Hallo,

hat jemand eine Idee, wie ich eine WAF (Web Server Protection) Rule so einstelle, dass der dahinterliegende Webserver nur von einigen FQDN Hosts erreicht werden kann. In der WAF Rule selbst kann ich ja nur IP und NETWORK auswählen als ALLOWED SOURCE. Gibt es irgend einen Trick, damit ich das trotzdem irgendwie auf anfragende FQDN's begrenzen kann (zusätzlich andere Regeln, irgendwas auf der CLI) oder hat Sophos hier mal wieder gepennt (oder braucht die Funktion wirklich keiner) ?

Edit: Ich nutze eine XG Firewall mit SFOS 19.1 bzw. 19.5



This thread was automatically locked due to age.
Parents
  • 0

    Moin

    Du kannst doch im Sitepathrouting nicht nur "Netzwork"- und "Host"-Objekte, sondern auch "DNS-host"-Objekte verwenden ("DNS Groups" allerdings nicht). Aber ist das nicht genau das, was Du Dir wünscht?

    LG, Janbo) 

  • 0 in reply to Janbo Noerskau

    Ok, mein Fehler. Hätte dazu schreiben sollen das ich die XG / XGS einsetze... auf der SG geht das - hat noch jemand eine Idee zur XG ?

  • 0 in reply to Team -IT

    Nein, gibt es leider noch nicht.

    Ich selbst habe auch eher private Einsatzfälle für dieses Feature ...

    Das wäre andernfalls ein Feature-Request wert.

  • 0 in reply to dirkkotte

    ich tendenziell eher nicht, denn wir betreiben zahlreiche API's auf Port 80 und 443 und wollen diese natürlich nicht WORLD WIDE exposen sondern auf einzelne "User" begrenzen... Die meisten die Zugreifen haben feste IP's oder eben ganze feste Netzwerke. Aber einzelne kleinere Kunden haben eben nur eine dynamische IP, die sie dann per DynDNS oder so in einen normalerweise benutzbaren FQDN für uns verwandeln.

    Als NAT Rule funktioniert das ganze natürlich, aber da muss ich dann auf die ganze "Web Server Protection" Dinge verzichten und die Sicherheit auf Seiten des Servers sicherstellen und im Zweifel eben auch auf allen 150-200 Servern die hinten dran hängen jedes Jahr das SSL Zertifikat tauschen (ok, geht größtenteils automatisch aber trotzdem hätte ich mir das gerne gespart)

  • 0 in reply to Team -IT

    Sprecht doch bitte mit eurem Sophos-Partner. Der soll bei seinem Ansprechpartner das Feature "melden".

    Das soll rel. ernst genommen werden.

    Auch gibt es im Firewall-GUI oben einen Link "Feedback". Der ist ebenfalls für Feature-Anfragen geeignet.

  • 0 in reply to dirkkotte

    Das werden wir machen - auch wenn es sicherlich nichts bringt wie die "Features" davor, aber ich konnte mir nicht vorstellen, das eine solch elementare Funktion nicht von der SG übernommen wurde und ich dafür ein "Feature" melden muss :-(. Ich hab immer noch die Hoffnung das hier jemand einen Workaround hat wie z.B. NAT Rule -> DNAT -> INTERNE VIRTUELLE SCHNITTSTELLE mit 169er IP -> und erst darauf lauscht dann die WAF :-) Ich werde das mal im LAB testen ob das so irgendwie geht, aber irgendwie war halt auch die Hoffnung, dass ich FQDN einfach nur anders "einstellen" muss oder es irgendwie über die CLI lösen kann :-(

    Ein Feature-Request war unter anderem zumindest vor dem Kauf der WAF-Lizenz zu erklären, dass maximal 60 WAF-Rules möglich sind. Mittlerweile steht das wenigstens in EINEM Support Dokument, darauf hingewiesen wird man vor dem Kauf trotzdem nicht. Warum hab ich auf den großen XG's / XGS's ein solch UNÜBERWINDBARES Limit (das soll jetzt aber nicht Bestandteil dieses Threads sein sondern weist irgendwie darauf hin, das WAF augenscheinlich sehr stiefmütterlich behandelt wird im Hause SOPHOS).

Reply
  • 0 in reply to dirkkotte

    Das werden wir machen - auch wenn es sicherlich nichts bringt wie die "Features" davor, aber ich konnte mir nicht vorstellen, das eine solch elementare Funktion nicht von der SG übernommen wurde und ich dafür ein "Feature" melden muss :-(. Ich hab immer noch die Hoffnung das hier jemand einen Workaround hat wie z.B. NAT Rule -> DNAT -> INTERNE VIRTUELLE SCHNITTSTELLE mit 169er IP -> und erst darauf lauscht dann die WAF :-) Ich werde das mal im LAB testen ob das so irgendwie geht, aber irgendwie war halt auch die Hoffnung, dass ich FQDN einfach nur anders "einstellen" muss oder es irgendwie über die CLI lösen kann :-(

    Ein Feature-Request war unter anderem zumindest vor dem Kauf der WAF-Lizenz zu erklären, dass maximal 60 WAF-Rules möglich sind. Mittlerweile steht das wenigstens in EINEM Support Dokument, darauf hingewiesen wird man vor dem Kauf trotzdem nicht. Warum hab ich auf den großen XG's / XGS's ein solch UNÜBERWINDBARES Limit (das soll jetzt aber nicht Bestandteil dieses Threads sein sondern weist irgendwie darauf hin, das WAF augenscheinlich sehr stiefmütterlich behandelt wird im Hause SOPHOS).

Children