我正在寻找不同的解决方案来满足数据中心对 Web 应用程序的需求。以下是我的要求。我首先希望有一个解决方案,能够将所有功能集中到一个盒子中,以使其尽可能简单
- 边缘防火墙(因为我们只有 Web 应用程序,所以需要防火墙连接到没有传统防火墙(如 Cisco ASA)的世界)
- 负载均衡器
- 可以在世界、dmz 和内部之间创建 DMZ 和防火墙流量
- 可以处理 SSL
- Web 应用程序防火墙(符合 PCI-Dss 标准)
- 反向代理
- VPN(SSL)-这是我们进入网络的唯一入口点,因此需要通过 VPN 进行完全访问
我们的数据中心将为上述解决方案配备两台冗余机器,然后是应用服务器,如 Web、应用程序和数据库服务器。没有路由器,没有其他防火墙。
我知道有很多公司提供负载均衡器、防火墙、VPN 解决方案,但有哪家公司提供单一解决方案?如果已经使用过,您的体验如何?
答案1
我很确定没有现成的商用设备可以解决这个问题。
你可以使用开源组件自己构建它,fx:
- Linux
- Linux 的 Netfilter 防火墙,可能使用诸如 Shorewall 之类的管理前端。
- Apache 2.2 用于 SSL、L7 负载平衡,并使用 Mod_Security 作为 Web 应用程序级防火墙。
- Squid 或 Varnish 用于缓存(反向代理)。
- 用于 SSL VPN 的 OpenVPN。
除非您拥有强大的 Unix 系统管理专业知识,否则构建这是一个相当重大的项目。我不建议这么做。
您的一些担忧似乎有些错误。我不明白您如何降低复杂性,将如此多的功能塞进一台设备。我建议按照我们行业通常使用的边界将其拆分到多台设备上,或许可以让顾问处理您不太熟悉的部分。
答案2
我们使用的是 DenyAll.com 的 rWeb,从可用性角度来看,它简直糟透了。它非常昂贵,理论上有很多有趣的功能,但由于它很难使用,因此无法正确使用,因此它提供的安全性并不比基本(且免费)的 mod_security 设置高。
用户界面简直就是个笑话(简直不能用,令人厌恶),命令行非常麻烦,日志记录也很糟糕(即你必须参考每一行的文档/知识库)
无论如何,它看起来像是进行了基本的字符串模式匹配,甚至没有真正努力去解析请求的内容。
我不知道其他商业 WAF 的情况,但它们可能同样糟糕且昂贵。