自过去以来,ISA 和现在的 TMG 都具有一些很棒的功能,由于其增强的功能和安全性,我经常想将这些功能部署给我的客户,但与 300-500 美元的设备相比,附加服务器硬件、Windows Server 和 TMG 许可证的成本往往太高了。
是否有其他网关防火墙可以执行以下一个或多个应用层功能:
- 在将数据包发送到内部服务器之前,是否根据 AD/LDAP 对传入的 HTTP 流量进行预认证(表单认证或基本凭据弹出窗口)?
- 读取传入 HTTP 流量(即使在 https 上)到公共 IP 的主机头,并根据该主机头将数据包路由到不同的内部服务器?
答案1
设备形式的真正应用程序/代理防火墙通常运行在该范围之上。(Palo Alto 和 Sidewinder... 我想到的是 McAfee Firewall Enterprise,但价格昂贵)。
我推荐 FortiNet FortiGate 60C。它是一款非常坚固的机器,而且简单的系统可以满足您的两个要求,价格约为 500 美元。
- 使用 LDAP 身份验证源的 HTTP/HTTPS 预身份验证支持
- 基于 HTTP/1.1 主机头的负载平衡 - 应该允许您描述的路由
答案2
嗯,你可以将其与 Squid 和 Varnish 结合使用。
Squid 将用于 LDAP 上的身份验证,Varnish 将根据标头信息重定向服务器。
我认为你甚至可以使用 squid 来完成这两项工作。
答案3
如果售价 300 至 500 美元的电器可以做到这一切,它们的价格会更高吗?:)
IIS 7 的一个附加扩展“应用程序请求路由”可以实现部分功能。它可以配置相当广泛的转发规则,但没有内置预身份验证。我认为这样做并不简单,但也不难。同样,与 TMG 相比,它的规则构建界面可能有点不尽如人意。
SSL 主机头部分也可以由 ARR 完成,或者至少可以由 IIS 完成 - 它不能解决需要 SAN 或通配符证书的问题(并且可以说,什么都不应该做),但它确实允许/要求在主机破解位发生之前建立 SSL 会话。
不过,它不提供普通的端口转发功能,因此您可能也想在其下配置 RRAS。不过,我猜,总成本将接近 Windows + 硬件,而且在许多情况下,它可以缩小到非常小的盒子。