Есть сайт в локальной сети веб-сервер Vesta CP и на нем крутиться . Как правильно опубликовать сайт в интернете если стоит шлюз Sophos UTM 9.3 и есть статический IP?
Что требуется сделать:
Опубликовать локальный web сервер по 80 и 443 порту на внешний IP адрес.
Настроить политики фильтрации запросов к нашему локальному web-серверу.
Что имеем:
1) Web-сервер (В моем случае это Vesta CP),
2) Шлюз Sophos UTM 9.3,
3) Статический внешний IP адрес.
И так приступим:
1) Заходим в консоль управления Sophos UTM,
2) Переходим в раздел «Webserver Protection» => «Web Application Firewall»,
3) Переходи в таб «Real Webservers»,
4) Нажимаем кнопку «New Real Webserver…» и добавляем нам внутренний веб-сервер:
a) Name: произвольное имя вашего сервера,
b) Host: выбираем или добавляем ваш локальный веб сервера,
c) Type: выбираем какой тип мы будем публиковать HTTP или HTTPS,
d) Port: на какой порту висит ваш локальный веб сервер (тут зависит от конфигурации вашего локального веб-сервера, у меня по умолчанию на 80),
e) Comment: по вашему усмотрению (можно оставить пустым),
f) Чекбокс Enable HTTP keepalive: поддержка соединения HTTP (желательно ставить)
g) Timeout: время которое будет ждать Sophos UTM от локального веб сервера пока не вернет пользователю ошибку доступа.
5) Нажимаем «Save»,
6) Переходим в таб «Firewall Profiles»,
7) Нажимаем кнопку «New Firewall Profile…» и добавляем правила фильтрации:
a) Name: произвольное имя вашего правила,
b) Чекбокс «Pass Outlook Anywhere»: не ставим (если конечно вы не Outlook Anywhere публикуйте),
c) Режим Monitor или Reject: выбираем на свое усмотрение,
d) Чекбокс «Common Threats Filter»: Фильтр распространённых угроз — если сервер мощный ставим,
e) Чекбокс «Cookie Signing»: Подпись куки – ставим в зависимости от того что публикуем,
f) Чекбокс «Static URL Hardening»: Защита статического URL — ставим в зависимости от того что публикуем,
g) Чекбокс «Form Hardening»: Защита форм — ставим в зависимости от того что публикуем,
h) Чекбокс «Antivirus»: Антивирус файлов — определенно ставим,
i) Режим сканирования (Single Scan или Dual Scan): в зависимости от мощности сервера,
j) Направление (Uploads and Downloads, Uploads only или Downloads only): в зависимости от мощности сервера,
k) Чекбокс «Block unscannable content»: Блокировать не сканируемое содержание — в зависимости от того что публикуем,
l) Чекбокс «Limit scan size»: Ограничить объем сканирование — определенно не ставим, пусть проверяет всё,
m) Чекбокс «Block clients with bad reputation»: Блокировать клиентов с плохой репутацией — определенно ставим,
n) Чекбокс «Skip remote lookups for clients with bad reputation»: Пропускать удаленный поиск для клиентов с плохой репутацией — выбираем на свое усмотрение.
8) Нажимаем «Save»,
9) Переходим в таб «Virtual Webservers»,
10) Нажимаем кнопку «New Virtual Webserver…» и создаем наш виртуальный сервер:
a) Name: произвольное имя вашего виртуального сервера,
b) Interface: выбираем сеть в которую мы будем публиковать сервер,
c) Type: тут у нас 3 варианта:
— Plaintext (HTTP) – это текущие большинство сайтов,
— Encrypted (HTTPS) – вариант при наличии сертификата (Как пример StarSSL) и при публикации на 443 порт,
— Encrypted (HTTPS) & Redirect – честно ХЗ, ни разу не использовал.
d) Port: для HTTP по умолчанию 80 порт по умолчанию,
e) Domains: добавляем сюда все домены и поддомены, которые будем публиковать в виде FQDN,
f) Real Webservers: ставим галочку напротив заранее созданного реального веб-сервера,
g) Firewall Profile: из выпадающего списка заранее выбранный профиль безопасности,
h) Comment: по вашему усмотрению (можно оставить пустым),
i) Advanced:
— Disable Compression Support: Отключить поддержку сжатия — оставляем по умолчанию,
— Rewrite HTML: Перезапись HTML — достаточно интересная функция, позволяет менять теги, атрибуты и ссылки,
— Pass Host Header: Пропустить заголовок хоста — ХЗ для чего.
j) Нажимаем «Save»,
11) Проверяем и радуемся =)