Firewall
防火牆後 WebApps 的高可用性和安全前端
我的問題是關於在防火牆後面對 WebApps 實施高可用性和安全前端的建議。網路的組成部分及其關係如下:
防火牆後的 2 個 WebApps 伺服器(BackEnd),用 GUI1 和 GUI2 表示,執行 Web 應用程序
位於 DMZ 中的 2 台機器 LB1 和 LB2 在主備模式下配置浮動 IP 以實現冗餘。他們的任務是
- 提供額外的安全層作為代理(他們正在對來自 GUI 的數據包執行 NAT)
- 處理基於cookies檢查的流量(實際上唯一的要求是實現基於cookie的會話持久性,而不是複雜的LB技術)
安全要求:
- 唯一可接受的 GUI 通信方法(顯然是通過防火牆)是通過反向 SSH 隧道。
- 傳入前端的流量通常是 https(和一些 http)
問題是:在前端機器 LB1 和 LB2 上實施哪種軟體(開源)是實現這些目標的最佳選擇?簡而言之,回想一下:
- SSL 終止(根據需要檢查 cookie)
- 基於 Cookie 的 LB
- 活動/待機模式
我在這個領域沒有實際經驗,但似乎 LB1 和 LB2 上的 NginX(解決 SSL 和 cookie 問題)與 HearBeat(實現所需的冗餘屬性)一起工作。
我知道所提議的架構在某種程度上類似於 HAproxy 或 LVS(配置為兩個冗餘實例),但是我需要一個保證同時處理所有描述的任務的解決方案(例如,HAproxy 不支持 SSL 終止)。
歡迎任何意見和建議。謝謝!
隨著原生 SSL 支持在幾天/幾週內出現,也許您想成為一個快樂的 beta 測試者?:-)