我正在运行 PFSense 防火墙,该防火墙正在对多个 IIS 服务器进行负载平衡。我想将 SSL 证书托管在 pfsense 防火墙上,而不是单个 IIS 服务器上。我还希望能够将可以连接到某个公共 IP 地址上的 https 服务器的客户端限制到客户端证书列表(由 pfsense 管理)。查看 Web GUI,它似乎仅在客户端连接到 VPN 时才允许规则证书规则。
这可能吗?提前致谢
答案1
PFSense 是基于 Freebsd 的模块化防火墙发行版。它可以通过 Apache、Mod_security、Squid 或 Openvpn(及其他)进行扩展。
我会用:
- Apache 用于 HTTP 服务和扩展
- Mod_security 用于 Web 应用程序保护
- Squid 用于代理功能/反向代理/缓存
- Openvpn 用于 VPN 功能
由于您可以在上述产品中访问 x509 证书功能,因此是可以的。您可以在以下网址阅读一些 x509 客户端 TLS vpn 信息
http://doc.pfsense.org/index.php/VPN_Capability_OpenVPN
还有一种使用 Squid 进行流量拦截的方法,称为 SSLbump
http://wiki.squid-cache.org/Features/SslBump
我建议对一些 PKI 特定想法使用离线 CA,并评估 PFsense 与加密卸载设备 (HSM) 的兼容性列表。
流量拦截的道德考量对外部客户而言比对内部员工而言更大。员工可以通过标准轻松解决 - 我们可以阅读所有内容、拦截所有内容等类型的 EULA 点击,例如国防部使用的 EULA 点击,例如https://dod411.gds.disa.mil/
因为我很懒,又很注重安全,所以我更愿意做一些与你提到的稍有不同的事情:多条隧道和带外管理
多条隧道
客户端 ---- 网络设备 <<<<<< 隧道 1,IPSEC >>>>>>> PFSense ---- IIS
客户端 -------- 隧道 2,IPSEC -------- IIS
请记住,IPSEC 比 TLS 更复杂,安全性更高,但可用性却有所降低。您还可以同时使用 TLS 和 IPSEC vpn 类型。
带外管理
创建另一个专用于管理的网络,并将其与生产(数据)流量隔离。仅通过管理接口启用传入管理。在生产端禁用除生产流量以外的所有流量。通过逐步收紧的过程使规则变得严格。在 IIS 服务器上强制执行最低权限,在生产网络端使用最低限度(HTTP 或 HTTPS)通信。
虽然这比你在问题中问的要多
- 您的安全更加严密,您可以安心休息
- 你的审计师可能会喜欢你:)