我需要能够以某种方式向互联网用户展示一组“内部”网站。 由于networking工程不是我的专长,请耐心等待。 我希望对此任务有任何见解或build议。 这里是基本的:
我们有一个只能通过连接Cisco AnyConnect安全移动客户端才能使用的networking。 我们使用双因素authentication。 我们有一个VPNconfiguration文件。
networking主要是基于微软的,在活动目录(AD)中的用户。 一旦我连接到networking,我可以login到四个不同的网站。 这些网站都运行在单个IIS服务器上,我们使用用户的AD帐户进行身份validation以及AD组成员身份进行授权。
Windows Server 2012与IIS 8.5。 一切都是用VMWare虚拟化的。 这些网站是基于ASP .NET。
我们需要使这些网站可以通过互联网访问。
我们不能要求VPN。 所以,这些网站需要在没有使用VPN的情况下可用。
如果可能,我宁愿使用内部AD用户存储/身份提供者。
我们必须要求双重authentication。 因此,用户必须使用用户名和密码login,然后使用RSA令牌authentication机制。
我知道这在某些方面似乎很愚蠢,但问题的核心是我们的主要客户需要访问我们的内部网站,并且他们对于他们可以做什么和不可以做什么有很大的限制。 客户端的每个用户只允许一个VPNconfiguration文件,并且该configuration文件已被使用。 同样,他们对互联网的使用也有严格的限制,但是我们可以打开一个防火墙规则,以便他们可以访问我们的“门户”,从而访问我们的网站。
所以,我需要一些门户网站或设备,或者是一些暴露在互联网上的门户或设备,它们需要所有适当的防火墙和区域保护,但允许使用双因素身份validation的非VPN访问,并暴露内部网站。
这个设备将需要自己build立VPN连接。 理想情况下,我们可以传递用户的凭据进行授权和身份validation。
我目前的研究指向了Sophos UTM&Next-Gen防火墙产品的方向。 不过,我想在研究我的select的时候,我会聘请一些专家的build议。
我很欣赏任何有关如何完成这项任务的见解。