Firewall

防火牆後 WebApps 的高可用性和安全前端

  • August 25, 2012

我的問題是關於在防火牆後面對 WebApps 實施高可用性和安全前端的建議。網路的組成部分及其關係如下:

  1. 防火牆後的 2 個 WebApps 伺服器(BackEnd),用 GUI1 和 GUI2 表示,執行 Web 應用程序

  2. 位於 DMZ 中的 2 台機器 LB1 和 LB2 在主備模式下配置浮動 IP 以實現冗餘。他們的任務是

  • 提供額外的安全層作為代理(他們正在對來自 GUI 的數據包執行 NAT)
  • 處理基於cookies檢查的流量(實際上唯一的要求是實現基於cookie的會話持久性,而不是複雜的LB技術)

安全要求:

  • 唯一可接受的 GUI 通信方法(顯然是通過防火牆)是通過反向 SSH 隧道。
  • 傳入前端的流量通常是 https(和一些 http)

問題是:在前端機器 LB1 和 LB2 上實施哪種軟體(開源)是實現這些目標的最佳選擇?簡而言之,回想一下:

  • SSL 終止(根據需要檢查 cookie)
  • 基於 Cookie 的 LB
  • 活動/待機模式

我在這個領域沒有實際經驗,但似乎 LB1 和 LB2 上的 NginX(解決 SSL 和 cookie 問題)與 HearBeat(實現所需的冗餘屬性)一起工作。

我知道所提議的架構在某種程度上類似於 HAproxy 或 LVS(配置為兩個冗餘實例),但是我需要一個保證同時處理所有描述的任務的解決方案(例如,HAproxy 不支持 SSL 終止)。

歡迎任何意見和建議。謝謝!

haproxy後面的nginx怎麼樣?

隨著原生 SSL 支持在幾天/幾週內出現,也許您想成為一個快樂的 beta 測試者?:-)

引用自:https://serverfault.com/questions/418793