¿Cómo puedo usar un dispositivo proxy como HTTP Proxy y Reverse Proxy al mismo tiempo?

1

Tengo un dispositivo BlueCoat ProxySG 810 y quiero usarlo como Servidor Proxy HTTP para clientes en la interfaz Inside de un Firewall PIX 525 (versión del SO = 8.0 (4)) y un Servidor Proxy Inverso para mis servidores web en la DMZ.

  1. ¿Debo colocar el ProxySG 810 en la DMZ?
  2. Si lo hago, ¿es necesario permitir que el ProxySG 810 acceda a la red interna (es decir, inicializar las conexiones con el interior) para poder servir como un servidor proxy HTTP para los clientes internos?
  3. Creo que la respuesta a la segunda pregunta es no; si es así, ¿es suficiente simplemente permitir el acceso desde el interior a la DMZ (y prohibir la dirección opuesta)?

Notas:

  1. PIX 525 (8.0 (4)) es compatible con WCCP.
  2. La interfaz externa del PIX 525 está conectada directamente a Internet.
pregunta Joseph 21.12.2013 - 00:32
fuente

2 respuestas

1

La primera pregunta que tendría sería: ¿qué necesitan los servidores web para llegar a eso que es interno y requiere un proxy inverso? Si yo tuviera para hacer esto, pondría el Proxy en la DMZ y lo configuraría principalmente como un proxy inverso. No hay manera de poner un proxy inverso internamente y permitir que DMZ / fuentes externas lleguen directamente a él.

Luego, una vez que lo hayas sintonizado y funcionando correctamente, configura el egreso de WCCP para enviarlo a tu proxy, teniendo especial cuidado de obtener solo las subredes del cliente y no los servidores (nunca sugeriría WCCP para un servidor. Si lo deseas ser proxy, configúralo manualmente a un VIP que apunte a tus proxies (si tienes varios)). Donde haces esto es clave, porque algunas versiones solo lo admiten en la interfaz de egreso de dispositivos (me encontré con esto con un interruptor cisco l3). Además, como FYI, he tenido problemas para configurar WCCP en firewalls en el pasado debido a la forma en que el tráfico fluye con WCCP, a veces hay problemas con las tablas de estado. Bluecoat sugirió que eliminara las inspecciones estatales para este cuadro, e inmediatamente le pedí a la empresa que moviera WCCP al interruptor más cercano, por lo tanto, también sugeriría poner esto en otro dispositivo si es posible.

Es difícil decir a partir de la información limitada que tenemos cuál sería el mejor lugar para configurar WCCP. ¿Tiene solo un servidor de seguridad en su entorno, o tiene una DMZ separada y uno o más servidores de seguridad internos?

    
respondido por el JZeolla 22.12.2013 - 23:15
fuente
0

No no no no no no no No puedo decir no a esta una vez suficiente. Blue Coat no admite este tipo de implementación por una buena razón: es increíblemente fácil crear una política que permita a TODOS los clientes externos conectarse a CUALQUIER host interno.

En serio, pregúntele a su ingeniero de ventas de Blue Coat y ellos dirán lo mismo.

Según lo solicitado:

1) Siempre, sí.

2) No para clientes proxy HTTP estándar no.

3) Sí.

Ahora, asumiendo que tiene esta configuración, piense qué pasa si alguien del exterior se conecta a su proxy como si fuera un proxy HTTP estándar. Podrán conectarse a cualquier máquina en su DMZ (ya que se debería permitir la política predeterminada para un proxy HTTP) sin una política de VPM cuidadosamente diseñada. Ahora piense qué sucede si alguien abre por error una regla en el DMZ / Firewall interno que permite que el proxy se comunique con la LAN interna, el desastre lo espera.

    
respondido por el Chris 21.12.2013 - 02:15
fuente

Lea otras preguntas en las etiquetas