防火墙后面的高可用性和安全的 WebApps 前端

我的问题是关于在防火墙后面为 WebApps 实施高可用性和安全前端的建议。网络的组件及其关系如下：

1）防火墙后面的 2 个 WebApps 服务器（BackEnd），分别表示为 GUI1 和 GUI2，运行 Web 应用程序

2）位于 DMZ 的 2 台计算机 LB1 和 LB2 配置为活动/备用模式，以实现冗余。它们的任务是

• 提供额外的安全层作为代理（它们对来自 GUI 的数据包执行 NAT）
• 根据对 cookie 的检查来处理流量（实际上唯一的要求是实现基于 cookie 的会话持久性，而不是复杂的 LB 技术）

安全要求：

• 唯一允许的与 GUI 通信的方法（显然是通过防火墙）是通过反向 SSH 隧道。
• 进入 FrontEnd 的流量通常是 https（和一些 http）

问题是：为了实现这些目标，在前端机器 LB1 和 LB2 上实施哪种软件（开源）是最佳选择？简单回想一下：

• SSL 终止（检查 cookie 时需要）
• 基于 Cookie 的负载均衡
• 主备模式

我没有这方面的实际经验，但是看起来 LB1 和 LB2 上的 NginX（解决 SSL 和 cookie 问题）与 HearBeat（实现所需的冗余属性）一起应该可以工作。

我知道所提出的架构在某种程度上类似于 HAproxy 或 LVS（配置为两个冗余实例），但是我需要一个能够保证同时处理所有描述的任务的解决方案（例如，HAproxy 不支持 SSL 终止）。

欢迎任何意见和建议。谢谢！