我有一个 Web 服务器 (IIS),位于 SOPHOS UTM 9 后面
我已经设置了 Web 应用程序防火墙功能。这是全新安装。没有编辑其他设置。当我尝试从 Web 访问服务器时,Web 浏览器中出现“禁止访问”错误消息。
有任何想法吗 ?
答案1
请更具体说明您要做什么。WAF 是一项保护内部 Web 服务器的功能。因此,您必须正确设置它才能访问您的内部服务器。这通常需要您执行以下操作:
- (可选)向外部 NIC 添加新的 IP 地址,以接受内部 Web 服务器的连接
- 设置 DNS,以便您的外部 FQDN 指向您选择用于此目的的防火墙的外部 IP 地址。
- (可选)如果您使用 SSL,请转到证书管理并确保您已上传网站的 X509 证书,包括私钥(PKCS#12 格式)以及所有中间 CA 直至根。
- 定义一个新的真实 Web 服务器,其中包含内部 Web 服务器的主机名(或 IP 地址)和协议类型(HTTP/HTTPS)
- 创建一个新的虚拟 Web 服务器,指定应使用的接口 (IP)、协议类型 (HTTP/HTTPS)、要使用的外部端口号、外部域名(从外部看到的 Web 服务器的 FQDN)、对上面创建的真实 Web 服务器的引用(您可以使用多个服务器进行故障转移/负载平衡)并指定需要执行的防火墙类型。通常,您会选择“基本”并选中“启用 HTML 重写”和“传递主机头”,至少在最初是这样。
完成所有这些操作后,启用 WAF,它应该可以正常工作。如果不行,则先创建一个新的防火墙配置文件,选择“监控”模式,不要选中所有选项:这是最宽松的防火墙规则,然后再次测试。
如果这不能解决问题,请查看 Web 服务器上的日志:它是否收到了请求?它是否用有效的响应代码回复了请求?等等。
如果一切都失败了,请详细描述您的设置,包括您在 Web 服务器上运行的应用程序(因为有些应用程序根本不适用于 Sophos WAF,例如 OWA 或 Citrix Web 界面)
答案2
在 ServerFault 上回答此类问题你可能会得到更好的结果。
两个想法:
1) 如果 Sophos 完全锁定了您的流量,您可能需要检查以确保在规则集中打开了您的 Web 端口 (80/443)。
2) 一般而言,“禁止”消息不是防火墙的问题,而是指向错误的 IIS 设置。如果没有更多信息,我认为无法提供太多帮助。
祝你好运。
答案3
您需要在 Web Access 防火墙设置下的虚拟 Web 服务器中添加域,除非您默认在那里定义域,否则 WAF 将给出禁止错误消息