Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 2 subscribers
  • Views 2254 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Doing IPS/SQL Injection only being an existing ASA?

markj
I am currently looking for a configuration setup to be able to put UTM behind an existing Cisco ASA to be used for IPS only.

Customer already has an existing Cisco ASA that they use for everything including VPN that they are going to keep. But we would like to add a VMware UTM behind the ASA to add an extra layer to protect their web servers.

Protection would be IPS/Sql Injection/Virus scanning and anything else that is available and can be used.

Has anyone done anything like this and would be able guide me in the right direction to set something like this up?

Thanks!

-Mark


This thread was automatically locked due to age.
Parents
  • 0
    Hi, Mark, and welcome to the User BB!

    To do this, you will want Network and Webserver Protection subscriptions.  The size of the subscription will depend on the number of IPs behind the UTM.

    For background on the following approach, read the Rulz through #5.

    Instead of the Cisco NAT'ing the inbound traffic to the UTM, it should only route it, leaving the public destination IP intact.  The first step is to add those public IPs as Additional Addresses to the External interface of the UTM.  Next, create DNAT rules that forward the appropriate traffic to each web server in the DMZ.  This bypasses the Web Application Firewall (WAF), but gets traffic flowing immediately.  After you've configured and tested a WAF configuration for a server, you will need to disable the corresponding DNAT in order for the WAF to be able to handle the traffic.

    You can get help on WAF configuration in: https://community.sophos.com/kb/en-US/120454

    One "trick" that isn't mentioned is testing each configuration using an alternate target address.  Once you've worked out the right configuration of the Real and Virtual Servers and of the Firewall Profile, then you can change the target address to the one currently in the corresponding DNAT.

    Cheers - Bob
  • 0 in reply to BAlfson
    I was thinking I need to put the webserver into it's own subnet/vlan behind the UTM and use the UTM as a gateway?

    Then use the UTM external IP for both external (ASA) and internal connections.

    I believe that would be easiest for routing it.

    Thanks for the information, it's giving me a good direction to start in to figure this out.

    -Mark
Reply
  • 0 in reply to BAlfson
    I was thinking I need to put the webserver into it's own subnet/vlan behind the UTM and use the UTM as a gateway?

    Then use the UTM external IP for both external (ASA) and internal connections.

    I believe that would be easiest for routing it.

    Thanks for the information, it's giving me a good direction to start in to figure this out.

    -Mark
Children
No Data