Come posso utilizzare un'appliance proxy come proxy HTTP e proxy inverso allo stesso tempo?

1

Ho un'appliance BlueCoat ProxySG 810 e voglio usarla sia come server proxy HTTP per i client nell'interfaccia interna di un firewall PIX 525 (versione OS = 8.0 (4)) che come server proxy inverso per i miei server Web sulla DMZ.

  1. Devo posizionare ProxySG 810 su DMZ?
  2. In tal caso, è necessario consentire a ProxySG 810 di accedere alla rete Inside (ad esempio, inizializzare le connessioni su Inside) per poter essere utilizzato come server proxy HTTP per i client interni?
  3. Penso che la risposta alla seconda domanda sia no; se è sufficiente autorizzare l'accesso da Inside alla DMZ (e vietare la direzione opposta)?

Note:

  1. PIX 525 (8.0 (4)) supporta WCCP.
  2. L'interfaccia esterna di PIX 525 è collegata direttamente a Internet.
posta Joseph 21.12.2013 - 00:32
fonte

2 risposte

1

La prima domanda che avrei sarebbe, che cosa hanno bisogno i server web per arrivare a quella interna e richiede un proxy inverso? Se io avessi per farlo, avrei inserito il proxy nella DMZ e l'avrei configurato principalmente come proxy inverso. Non c'è modo di mettere un proxy inverso internamente e permettere a DMZ / fonti esterne di arrivare direttamente a questo.

Quindi, una volta sintonizzati e funzionanti correttamente, impostare eCP di egress per inviare al proprio proxy, facendo particolare attenzione a ottenere solo sottoreti client e non server (non consiglierei mai WCCP per un server.) da proxy, impostalo manualmente su un VIP che punta ai tuoi proxy (se ne hai più)). Dove lo fai è fondamentale, perché alcune versioni lo supportano solo sull'interfaccia di uscita dei dispositivi (mi sono imbattuto in questo con un interruttore l3 cisco). Inoltre, come FYI, ho avuto problemi con l'impostazione di WCCP sui firewall in passato a causa del flusso di traffico con WCCP, a volte ci sono problemi con le tabelle di stato. Bluecoat ha suggerito di rimuovere le ispezioni di stato per questa casella e ho richiesto immediatamente all'azienda di spostare WCCP sullo switch più vicino, pertanto suggerirei di inserirlo su un altro dispositivo se possibile.

È difficile capire dalle informazioni limitate che abbiamo quale sarebbe il posto migliore per impostare WCCP. Avete un solo firewall nel vostro ambiente o avete una DMZ separata e un firewall interno?

    
risposta data 22.12.2013 - 23:15
fonte
0

No no no no no no no no. Non posso dire di no a questo abbastanza volte. Blue Coat non supporta questo tipo di distribuzione con un buon motivo: è incredibilmente facile creare un criterio che consenta a TUTTI i client esterni di connettersi a QUALSIASI host interno.

Seriamente, chiedi al tuo tecnico vendite Blue Coat e diranno la stessa cosa.

Come richiesto:

1) Sempre, sì.

2) Non per i client proxy HTTP standard no.

3) Sì.

Ora, supponendo che tu abbia questa configurazione, pensa a cosa succede se qualcuno dall'esterno si connette al tuo proxy come se fosse un proxy HTTP standard. Saranno in grado di connettersi a qualsiasi macchina nella DMZ (come dovrebbe essere consentita la politica predefinita per un proxy HTTP) senza un criterio VPM molto elaborato. Ora pensa a cosa succede se qualcuno apre erroneamente una regola sul firewall DMZ / Internal che consente al proxy di parlare con la LAN interna, il disastro ti attende.

    
risposta data 21.12.2013 - 02:15
fonte

Leggi altre domande sui tag