Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 1 subscriber
  • Views 11573 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WAF with single NIC?

BarryG
Hi, can the WAF (in 9.006) be used in a system with a single NIC?

If so, how many IPs are needed on that NIC? Can a single IP work?

Thanks,
Barry


This thread was automatically locked due to age.
  • 0
    To answer my own question:
    Yes, a single NIC works (no VLANs needed either).

    It looks like a single IP would probably work too, but I had to create a management IP (to match our previous WAF config) so I can't say for sure.

    Barry
  • 0
    BTW, afaict, the IPS doesn't do anything in this single-NIC config.

    I would like to figure out how to get it working though, if possible.

    Barry
  • 0
    Barry, what if you create a Static Route to the gateway for the DMZ and add the DMZ to 'Local networks' in Intrusion Prevention?

    Cheers - Bob
  • 0
    Hi Bob,

    I already added the entire 10.0.0.0/8 network to the "Local Networks" in the IPS settings.

    The UTM/WAF is in the DMZ, and the DMZ gateway is assigned as the gateway on the UTM's NIC.
    Is that what you mean?

    Thanks!
    Barry
  • 0
    So, it's 'Internet[ASG]LANs' and the DMZ LAN contains the WAF?  So the traffic from the internet is DNATted to the WAF, and it sends the web requests to a server in the DMZ?

    If that's right, then I guess it might work, but nothng is getting to the WAF that triggers IPS.  Can you create an HTTP flood to the WAF from the internet?  What happens if the HTTP server isn't listed on the 'Advanced' tab of IPS?

    Cheers - Bob
  • 0
    Hi,

    It's Internet->Cisco ASA->DMZ Switch->UTM WAF

    The internet traffic is DNAT'd on the ASA (I know Cisco doesn't call it DNAT) to the UTM WAF. The UTM WAF has a Virtual Webserver configured with an extra DMZ IP matching the ASA DNAT. 
    The UTM WAF also has the 'Real Webservers' configured with the Internal IP of the protected webserver. The protected webserver is on an Internal LAN (through the ASA).
    The WAF is working fine.

    I've tried hitting http://server/cmd.exe, expecting an IIS rule to trigger (it's worked before).

    I haven't setup the 'advanced' tab yet, so in theory, it should be working, right?

    However, I wonder that since there's only one NIC, the IPS isn't effective.

    Thanks,
    Barry
  • 0
    BTW, I'm a bit suprised that the WAF doesn't have a rule to block http://server/cmd.exe as well.
    Another reason I'd like to get the IPS working.

    Barry
  • 0
    Seems like this is a question worth a support ticket, Barry. 

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
  • 0
    We're on a trial license for the new WAF install right now, but I am working with our reseller on it.

    Thanks,
    Barry
  • 0 in reply to BarryG
    AFAIK, you can't have the IPS (snort_inline as implemented in the UTM) detect any traffic unless there is a source and destination interface configured, whether at Layer 2 or 3.  Creating a bridge (layer 2) or using two interfaces (whether physical or VLAN) would be in order.