我需要能够以某种方式向互联网用户公开一组“内部”网站。请耐心等待,因为网络工程不是我的强项。我很感激任何有关这项任务的见解或建议。以下是基本情况:
我们的网络只能通过连接 Cisco AnyConnect 安全移动客户端才能使用。我们使用双因素身份验证。我们有一个 VPN 配置文件。
该网络主要基于 Microsoft,用户位于 Active Directory (AD) 中。一旦连接到网络,我就可以登录四个不同的网站。这些网站都在单个 IIS 服务器上运行,我们使用用户的 AD 帐户进行身份验证,并使用 AD 组成员身份进行授权。
带有 IIS 8.5 的 Windows Server 2012。所有内容都使用 VMWare 虚拟化。这些站点基于 ASP .NET webforms。
我们需要让这些网站可以通过互联网访问。
我们不能要求使用 VPN。因此,网站需要在不使用 VPN 的情况下才能访问。
如果可能的话,我希望我们使用内部 AD 用户存储/身份提供商。
我们必须要求双重身份验证。因此,用户必须使用用户名和密码登录,然后很可能使用 RSA 令牌身份验证机制。
我知道这在某些方面似乎很愚蠢,但问题的核心在于我们的主要客户需要访问我们的内部网站,而他们对可以做什么和不能做什么有严格的限制。客户站点上的每个用户只能使用一个 VPN 配置文件,并且该配置文件已在使用中。同样,他们对互联网使用也有严格的限制,但我们可以打开防火墙规则,这样他们就可以访问我们的“门户”,从而访问我们的网站。
所以,我需要某种门户或设备或某种东西,它可以暴露在互联网上,并具有所有适当的防火墙和区域保护,但允许使用双因素身份验证进行非 VPN 访问并公开内部站点。
此设备需要自行建立 VPN 连接。理想情况下,我们能够传递用户的凭证以进行授权和身份验证。
我目前的研究为我指明了方向Sophos UTM 和下一代防火墙产品。不过,我想在研究我的选择时寻求一些专家的建议。
我很感激任何关于如何完成这项任务的见解。