Existem outros firewalls de camada de aplicação como o Microsoft TMG (ISA) que fazem regras http avançadas?

2

Desde os tempos antigos, o ISA e o TMG agora têm vários recursos excelentes que eu frequentemente desejo implantar em meus clientes devido à funcionalidade e segurança aprimoradas, mas geralmente o custo de uma licença HW, Windows Server e TMG de servidor adicional é demais para justificar quando comparado a um aparelho de US $ 300-500.

Existem outros firewalls de gateway que podem executar um ou mais desses recursos da camada de aplicativo:

  1. Pré-autentique o tráfego HTTP de entrada em relação ao AD / LDAP antes de enviar pacotes para o servidor interno (formulário de autenticação ou creds básicos)?
  2. Leia cabeçalhos de host do tráfego HTTP de entrada (mesmo em https) para um IP público e rotear pacotes para diferentes servidores internos com base nesse cabeçalho de host?
por Bret Fisher 20.03.2011 / 01:03

3 respostas

1

Os firewalls de aplicativos / proxy verdadeiros no formulário do appliance geralmente são executados acima desse intervalo. (Palo Alto e Sidewinder ... quero dizer, o McAfee Firewall Enterprise vem à mente, mas é $$).

Eu recomendaria o FortiNet FortiGate 60C. É uma caixa realmente sólida, e um sistema sem frescuras cobriria seus dois requisitos em torno de US $ 500.

  • Suporte para pré-autenticação HTTP / HTTPS usando a fonte de autenticação do LDAP
  • Balanceamento de carga baseado em cabeçalho de host HTTP / 1.1 - deve permitir o roteamento que você descreveu
por 06.04.2011 / 07:52
1

Bem, você poderia usar um combo com Squid e Verniz.

O Squid será usado para autenticação no LDAP, e o Varnish redirecionará o servidor dependendo das informações dos cabeçalhos.

Acho que você pode até usar o squid para fazer os dois trabalhos.

    
por 03.04.2011 / 01:01
0

Se os aparelhos de US $ 300 a US $ 500 pudessem fazer tudo isso, eles custariam mais? :)

Application Request Routing, uma extensão de complemento para o IIS 7, pode fazer parte disso. Ele pode ser configurado com regras bastante extensas para encaminhamento, mas não possui pré-autenticação incorporada. Minha leitura é que não seria trivial, mas não difícil de fazer. Da mesma forma, sua interface para a construção de regras pode deixar um pouco a desejar quando comparado com o TMG.

A parte dos cabeçalhos de host SSL também pode ser feita por ARR ou pelo menos pelo IIS - não resolve o problema de exigir um certificado SAN ou curinga (e, possivelmente, nada deve), mas permite / requer a sessão SSL a ser estabelecida antes que o bit de quebra do host aconteça.

No entanto, ele não faz o encaminhamento de portas de tipo jardim, então você também gostaria que o RRAS fosse configurado por baixo, como um palpite. Mas o custo total seria próximo ao hardware do Windows +, e poderia ser reduzido para uma caixa muito pequena em muitos casos, eu acho.

    
por 29.03.2011 / 16:19