在OPNsense上,可以通過添加nginx插件來保護內部網絡和Web服務器。
安裝插件
請按照以下簡單步驟操作:
訪問OPNsense防火牆Web gui:
進入菜單:系統:固件:插件
找到os-nginx插件,然後單擊安裝[+]
初始配置
在配置之前,我們需要了解一些術語:
上游服務器:將託管網頁/應用程序的真實網絡服務器;
上游:將在其中配置服務器的後端;
位置:應該配置了上游功能的網址格式;
HTTP 服務器:應該配置一個或多個位置的前端;
配置將從上游服務器配置開始:
要進行初始配置,請轉到Nginx配置菜單:
1、上游服務器
點擊添加按鈕
服務器參數將取決於您的Web服務器/應用程序和網絡環境。爲了獲得更好的保護,建議在“ 最大連接數/失敗次數”和“ 失敗超時”中設置一些限制。
2、上游
點擊添加按鈕
選擇上一步中配置的上游服務器
在上面的示例中,我們沒有在後端使用TLS。
配置的上游如下所示:
3、下載NAXSI(WAF)規則
關於NAXSI:從技術上講,它是第三方nginx模塊,可作爲許多類似UNIX的平臺的軟件包使用。默認情況下,該模塊讀取一小部分簡單(可讀)規則,其中包含與網站漏洞有關的99%的已知模式。例如, <, | 或 drop不應該是一個URI的一部分。
在進行配置之前,我們需要下載Naxsi規則,在後面的“位置”配置中啓用該規則。
轉到子菜單:
單擊下載按鈕來獲取NAXSI規則
必須接受NAXSI存儲庫許可證才能下載規則
下載過程完成後,將顯示獲得的規則列表。
4、位置
創建一個新位置:
位置子菜單
點擊添加按鈕
說明:填入您需要說明的內容;
URL模式:要與您的Web服務器根目錄匹配,請用“/”填充。要與另一個路徑匹配,請將其更改爲“/ anotherpath /”;
啓用安全規則:此選項啓用WAF保護。結合使用“自定義安全策略”,您將能夠保護您的網站免受指定策略(規則組)的侵害;
學習模式:在此模式下,插件將不會阻止與所選策略匹配的請求,而只會記錄請求。在開始阻止請求之前,調整自己的白名單規則是個很好的方法。
5、 HTTP服務器
最後,創建您的網站前端:
點擊添加按鈕
服務器名稱:您網站的FQDN名稱;
位置:在上一步中創建的位置;
TLS證書/CA證書/啓用加密插件:如果要(應該)在網站中啓用HTTPS(TLS),則這些選項需要使用TLS和CA證書(如果您已經有一個有效證書)進行配置,或者您可以安裝和配置“ Let\’s Encrypt”插件,該插件將免費爲您創建這些插件。
6、 OPNsense配置調整
要啓用我們的nginx服務而不會出現端口衝突問題,還需要調整一些webgui配置。
注意:在更改以下配置之前,請確保您可以從LAN接口訪問OPNsense或添加所需的規則!
轉到系統:設置:管理菜單
更改Webgui HTTPS端口並禁用HTTP重定向規則(端口80)
返回菜單服務:Nginx:配置並啓用服務:
選中啓用,然後單擊應用按鈕
應用配置後,服務將啓動並運行
最後一步是創建所需的防火牆規則,以允許所需網絡接口(可能是WAN)上的HTTP / HTTPS通信。
至此,配置完成!