WAF with single NIC?

To answer my own question:
Yes, a single NIC works (no VLANs needed either).

It looks like a single IP would probably work too, but I had to create a management IP (to match our previous WAF config) so I can't say for sure.

Barry

BTW, afaict, the IPS doesn't do anything in this single-NIC config.

I would like to figure out how to get it working though, if possible.

Barry

Barry, what if you create a Static Route to the gateway for the DMZ and add the DMZ to 'Local networks' in Intrusion Prevention?

Cheers - Bob

Hi Bob,

I already added the entire 10.0.0.0/8 network to the "Local Networks" in the IPS settings.

The UTM/WAF is in the DMZ, and the DMZ gateway is assigned as the gateway on the UTM's NIC.
Is that what you mean?

Thanks!
Barry

So, it's 'Internet[ASG]LANs' and the DMZ LAN contains the WAF?  So the traffic from the internet is DNATted to the WAF, and it sends the web requests to a server in the DMZ?

If that's right, then I guess it might work, but nothng is getting to the WAF that triggers IPS.  Can you create an HTTP flood to the WAF from the internet?  What happens if the HTTP server isn't listed on the 'Advanced' tab of IPS?

Cheers - Bob

Hi,

It's Internet->Cisco ASA->DMZ Switch->UTM WAF

The internet traffic is DNAT'd on the ASA (I know Cisco doesn't call it DNAT) to the UTM WAF. The UTM WAF has a Virtual Webserver configured with an extra DMZ IP matching the ASA DNAT. 
The UTM WAF also has the 'Real Webservers' configured with the Internal IP of the protected webserver. The protected webserver is on an Internal LAN (through the ASA).
The WAF is working fine.

I've tried hitting http://server/cmd.exe, expecting an IIS rule to trigger (it's worked before).

I haven't setup the 'advanced' tab yet, so in theory, it should be working, right?

However, I wonder that since there's only one NIC, the IPS isn't effective.

Thanks,
Barry

BTW, I'm a bit suprised that the WAF doesn't have a rule to block http://server/cmd.exe as well.
Another reason I'd like to get the IPS working.

Barry

Seems like this is a question worth a support ticket, Barry. 

Cheers - Bob

Sorry for any short responses.  Posted from my iPhone.

We're on a trial license for the new WAF install right now, but I am working with our reseller on it.

Thanks,
Barry

AFAIK, you can't have the IPS (snort_inline as implemented in the UTM) detect any traffic unless there is a source and destination interface configured, whether at Layer 2 or 3.  Creating a bridge (layer 2) or using two interfaces (whether physical or VLAN) would be in order.