高度なhttpルールを実行するMicrosoftTMG(ISA)のような他のアプリケーション層ファイアウォールはありますか?
昔から、ISAそして今ではTMGには、機能とセキュリティが強化されているために顧客に展開したいいくつかの優れた機能がありますが、多くの場合、追加のサーバーHWのコストがかかります。 Windows Server、およびTMGライセンスは、300〜500ドルのアプライアンスと比較した場合、正当化するには多すぎます。
これらのアプリケーション層機能の1つ以上を実行できる他のゲートウェイファイアウォールはありますか?
- 内部サーバーにパケットを送信する前に、AD/LDAPに対して着信HTTPトラフィックを事前認証しますか(フォーム認証または基本的な資格情報のポップアップ)?
- 着信HTTPトラフィックのホストヘッダーを(https上でも)パブリックIPに読み取り、そのホストヘッダーに基づいてパケットを別の内部サーバーにルーティングしますか?
アプライアンス形式の真のアプリケーション/プロキシファイアウォールは、通常、その範囲を超えて実行されます。 (パロアルトとサイドワインダー...つまり、McAfee Firewall Enterpriseが思い浮かびますが、$$です)。
FortiNet FortiGate60Cをお勧めします。それは本当に頑丈な箱であり、飾り気のないシステムは約500ドルであなたの2つの要件をカバーします。
- LDAP認証ソースを使用したHTTP/HTTPS事前認証のサポート
- HTTP /1.1ホストヘッダーベースの負荷分散-説明したルーティングを許可する必要があります
さて、あなたはイカとワニスとのコンボを使うことができます。
LDAPでの認証にはSquidが使用され、Varnishはヘッダー情報に応じてサーバーをリダイレクトします。
イカを使って両方の仕事をすることもできると思います。
300ドルから500ドルのアプライアンスでそれがすべてできるとしたら、もっとコストがかかるでしょうか。 :)
IIS 7のアドオン拡張機能であるApplicationRequest Routingは、その一部を実行できます。転送用のかなり広範なルールで構成できますが、事前認証は組み込まれていません。それは簡単ではありませんが、実行するのは難しいことではありません。同様に、ルール構築のためのそのインターフェイスは、TMGと比較した場合に少し望まれることを残すかもしれません。
SSLホストヘッダー部分は、ARRでも実行できます。または、少なくともIIS-SANまたはワイルドカード)が必要な問題は解決されません。証明書(そして間違いなく、何もすべきではありません)が、ホストクラッキングビットが発生する前にSSLセッションを確立することを許可/要求します。
ただし、さまざまなポート転送は行わないため、推測として、その下にもRRASを構成する必要があります。しかし、総コストはWindows +ハードウェアに近く、多くの場合、非常に小さなボックスに縮小できると思います。