HOWTO: Reverse Proxy mit HTTPS Content Inspection und Domain Name Rules (Deep Packet Inspection)

12. Dezember 2023 Selcuk Yener Comment

Der nachfolgende Artikel beschreibt die Absicherung HTTPS basierter Anwendungen via einer Incoming Proxy Regel mit aktivierter HTTPS Content Inspection und Domain Name Rules.
Die Firewall Regel und die HTTPS Proxy Action beinhalten folgende Security Features der Total Security Suite: Intrusion Prevention, Gateway AV, Intelligent AV, Geolocation und den APT Blocker.

Optional:
Wenn Sie die Konfiguration entsprechend unseres Howto’s umsetzen, haben Sie einen guten Schutz vor ext. Angriffen. Um die Sicherheit weiter zu erhöhen kann man vor einer WatchGuard Firebox einen weiteren Proxy z.B. NGINX (ausgelagert) mit vorgeschalteter DDOS Protection einsetzen. Somit wird unter anderem die IP-Adresse, des Backends verschleiert.

Voraussetzungen:

gültiges Zertifikat (passendes SAN oder besser Wildcard)
Für den vollen Security Umfang wird eine Total Security Suite benötigt
Unterschiedliche Domains oder Subdomains (Die Domain Name Rules greifen nur für Domains/Subdomains, nicht für URLs)

1. Zertifikat lmport

a) Import Zertifikat für “Proxy Server“ (PFX inkl. Zertifikatskette und private Key):
(Firebox System Manager) (FSM) -> View -> Certificates -> Import Certificate -> Proxy Server

b) Je nach Bedarf als “default” oder als “another” Proxy Server auswählen

2. HTTP Proxy Konfiguration

a) HTTP-Server.Standard Proxy klonen
Wenn ein Backend Server abweichende Parameter benötigt, muss eine weitere HTTP Proxy Action angelegt werden. In unserem Beispiel verwenden wir die selbe HTTP Proxy Action für zwei Backend Server.
(Policy Manager) -> Setup -> Actions -> Proxies

b) Request Methods

c) URL Paths

d) Gateway AV

e) APT Blocker

3. HTTPS Proxy Action Konfiguration

HTTPS-Server.Standard Proxy klonen und die Domain Name Rules anlegen
(Policy Manager) -> Setup -> Actions -> Proxies

Die Rule Actions auf Inspect setzen und das importierte Proxy Server Zertifikat, sowie die zuvor erstellte HTTP-Proxy Action auswählen.
Für Beispiel1 wird die Routing Action aus der SNAT ausgeführt. Bei Beispiel2 setzen wir eine Routing Action.
Wenn die Anwendung auf einem anderen Port lauscht kann man den Port mit angeben.

4) SNAT Action und HTTPS-Proxy Regel anlegen

(Policy Manager) -> Setup -> Actions -> SNAT

5) Geolocation Konfiguration

(Policy Manager) -> Subscription Services -> Geolocation

6) Intelligent AV aktivieren

(Policy Manager) -> Subscription Services -> IntelligentAV

Fazit:

Ist die Konfiguration umgesetzt und erfolgreich getestet, sind die Backend Server von Extern nur noch via Incoming Proxy mit HTTPS Content Inspection zu erreichen und man wird mit einem entsprechend hohem Schutzniveau belohnt.

BOC IT-Security GmbH
Künzeller Straße 93 D-36043 Fulda Deutschland / Germany Tel: +49 661 9440440 Fax: +49 661 9440490 E-Mail: info@boc.de Internet: https://www.boc.de	Geschäftsführer: Dipl.-Ing. Bernd Och Maik Lumler Handelsregister: Fulda 5 HRB 5345 USt-IdNr.: DE 256 847 327

WatchGuard Firewall / VPN

WatchGuard Access Points

WatchGuard AuthPoint

Multifaktor-Authentifizierung

WatchGuard Endpoint Security & Panda

Einzelprodukte

Zusatzmodule

Bundles

Für Bestandskunden von Panda empfehlen wir weiterhin:

WatchGuard Schulungen

Unsere WatchGuard Administrator-Schulung

Individualschulungen vor Ort

WatchGuard Videos und Webinare (kostenfrei)

Nächste Schulungs-Termine:

Follow-Up Q&A-Session:

Weitere Termine:

WatchGuard Support

Support durch BOC IT-Security GmbH

Häufig nachgefragt...

Support durch WatchGuard (kostenfrei)

Hilfe zur Selbsthilfe (kostenfrei)

WatchGuard Informationen