Назад | Перейти на главную страницу

Несколько служб SSL с использованием одного IP-адреса или нескольких DHCP на одном интерфейсе

Итак, в мире SSL / https вы можете просто привязать новый статический общедоступный IP-адрес к интернет-интерфейсу брандмауэра и использовать одну службу SSL (например, https: // сайт, Outlook Anywhere или что-то вроде RDP через RCP через HTTPS) на общедоступный IP-адрес - поскольку использование более одного на каждый IP-адрес, как вы можете с HTTP, с использованием заголовков / псевдонимов хоста, обычно невозможно ...

... однако в этой моей лаборатории я получаю только динамические общедоступные IP-адреса. Включение более одной службы SSL - небольшая проблема, но я определенно хотел бы попробовать ^^

Я вижу две возможности (если есть):

  1. Как-нибудь получить интерфейс брандмауэра (который прямо сейчас работает под Windows 2003 и ISA 2006) для запроса и привязки более 1 общедоступного IP-адреса с помощью DHCP. Какой-то обман с использованием моста, подмены MAC-адресов или чего-то еще, чтобы назначить более одного адреса одному и тому же логическому интерфейсу межсетевого экрана? К сожалению, простое добавление еще одной сетевой карты не поддерживается, поскольку ISA не будет иметь более одного внешнего логического интерфейса (но может иметь любое количество (обычно статических) IP-адресов).

  2. Используйте хитрый трюк с ISA (у которого есть сертификат с подстановочными знаками), чтобы соединить входящие запросы SSL для разных имен хостов с разными внутренними службами SSL. Насколько я помню, это была некоторая новая интернет-функция, которая широко не поддерживается, с использованием проверки SSL-трафика, подобной заголовку хоста. Но поскольку ISA должна иметь возможность разрывать любые SSL-соединения локально, а затем связывать их с внутренними службами, разве он не должен иметь возможность проверять заголовок хоста даже с использованием стандарта старой школы и делать что-то полезное?

Пока мне не удавалось придумать хорошее решение, включающее любой из них, кроме попытки убедить интернет-провайдера продать несколько статических договоров аренды или просто отказаться и настроить другой отдельный ISA для каждой службы SSL. На производственных площадках это не проблема, и нужно просто добавить количество заданных статических IP-адресов к внешнему интерфейсу межсетевого экрана по мере необходимости.

Я все слышу о хороших идеях - возможно, я просто упустил из виду что-то действительно очевидное ^^

Что-то простое и очевидное: используйте разные порты для каждой службы!