我正在运行一个PFSense防火墙,对许多IIS服务器进行负载平衡。 我想在pfsense防火墙上托pipeSSL证书,而不是单独的IIS服务器。 我还希望能够将可以连接到某个公共IP地址上的https服务器的客户端限制为客户端证书列表(由pfsensepipe理)。 看看web gui,如果客户端连接到VPN,它似乎只允许规则证书规则。
这可能吗? 提前致谢
PFSense是基于Freebsd的模块化防火墙分发。 它可以通过Apache,Mod_security,Squid或Openvpn(及其他)进行扩展。
我会使用:
您可以访问上述产品中的x509证书function,是的,这是可能的。 您可以阅读一些x509客户端TLS vpn信息
http://doc.pfsense.org/index.php/VPN_Capability_OpenVPN
还有一种方法可以使用Squid进行stream量拦截,称为SSLbump
http://wiki.squid-cache.org/Features/SslBump
我build议使用脱机CA来实现一些PKI特定的想法,并使用encryption卸载设备(HSM)评估PFsense兼容性列表。
对于外部客户而言,交通拦截中存在的道德上的考虑因素要比对内部员工更大。 员工可以通过标准轻松解决 – 我们可以读取所有内容,截取所有内容,例如国防部使用的EULA点击types,例如https://dod411.gds.disa.mil/
因为我是懒惰和安全的偏执狂,我宁愿做一些与你所提到的不同的东西:多个隧道和带外pipe理
多个隧道
客户端—-networking设备<<<<<<隧道1,IPSEC >>>>>>> PFSense —- IIS
客户——–隧道2,IPSEC ——– IIS
请记住,IPSEC比TLS更为复杂,安全性更高,成本更低。 您也可以一起使用TLS和IPSEC vpntypes。
带外pipe理
创build另一个特定于pipe理的networking,并将其与生产(数据)stream量隔离。 只能通过pipe理界面启用传入pipe理。 禁用生产端的所有生产stream量。 通过逐步的紧缩过程,使你的规则僵化。 使用生产networking侧的最低限度(HTTP或HTTPS)通话,在您的IIS服务器上实施最小权限。
虽然这是比你问的问题更多的工作