Назад | Перейти на главную страницу

Существуют ли другие брандмауэры прикладного уровня, такие как Microsoft TMG (ISA), которые выполняют расширенные правила http?

С давних времен у ISA, а теперь и у TMG есть несколько замечательных функций, которые я часто хочу развернуть для своих клиентов из-за расширенной функциональности и безопасности, но часто стоимость дополнительного серверного HW, Windows Server и лицензии TMG слишком высока. чтобы оправдать по сравнению с прибором за 300-500 долларов.

Существуют ли другие межсетевые экраны шлюзов, которые могут выполнять одну или несколько из этих функций прикладного уровня:

  1. Предварительно аутентифицировать входящий HTTP-трафик по AD / LDAP перед отправкой пакетов на внутренний сервер (формирует всплывающее окно аутентификации или базового кредита)?
  2. Считывать заголовки узлов входящего HTTP-трафика (даже по https) на общедоступный IP-адрес и направлять пакеты на разные внутренние серверы на основе этого заголовка узла?

Что ж, вы можете использовать комбинацию с Squid и Varnish.

Squid будет использоваться для аутентификации на LDAP, а Varnish перенаправит сервер в зависимости от информации заголовков.

Я думаю, вы даже можете использовать squid для выполнения обеих задач.

Истинные брандмауэры приложений / прокси в форме устройства обычно работают выше этого диапазона. (Пало-Альто и Сайдвиндер ... Я имею в виду, что McAfee Firewall Enterprise приходит на ум, но это $$).

Я бы порекомендовал FortiNet FortiGate 60C. Это действительно прочная коробка, и система без излишеств покроет ваши два требования примерно за 500 долларов.

  • Поддержка предварительной аутентификации HTTP / HTTPS с использованием источника аутентификации LDAP
  • Балансировка нагрузки на основе заголовка HTTP / 1.1. Должна разрешить описанную вами маршрутизацию.

Если бы приборы за 300-500 долларов могли все это сделать, они бы стоили больше? :)

Маршрутизация запросов приложений, дополнительное расширение для IIS 7, может частично это сделать. Он может быть настроен с использованием довольно обширных правил для пересылки, но не имеет встроенной предварительной аутентификации. Я считаю, что это было бы нетривиально, но несложно. Точно так же его интерфейс для построения правил может оставлять желать лучшего по сравнению с TMG.

Часть заголовков хоста SSL также может быть выполнена с помощью ARR или, по крайней мере, с помощью IIS - это не решает проблему требования сертификата SAN или подстановочного знака (и, возможно, ничего не должно), но он разрешает / требует сеанс SSL должен быть установлен до того, как произойдет взлом хоста.

Однако он не выполняет разнообразную переадресацию портов, поэтому, как предполагалось, вы также можете настроить RRAS под ним. Но общая стоимость будет близка к стоимости оборудования Windows +, и я полагаю, что во многих случаях ее можно уменьшить до очень маленькой коробки.