DENY-ALL remote-web
1 - Deny-All t & Sécurité Pôle produits: sécurité & contrôle applicatif rweb: contrôle applicatif entrant HTTP/HTTPS rftp: contrôle applicatif entrant FTP zproxy: contrôle applicatif sortant /FTP Développement Maintenance et Support Pôle services: expertise sécurité Veille technologique sécurité Assistance à MO sécurité Assistance à ME sécurité
2 - rweb (remote-web) Robuste Sécurisé Performant Simple d utilisation Filtrage intégral plusieurs années de production développements de qualité et audit systématique cache, cartes accélératrices,... administration graphique Web pour chaque requête : - URL, arguments, data - entêtes HTTP
3 - Architectures traditionnelles t www1 BD.R BD.M
- Architectures traditionnelles Bugs Web! http://www/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c Bugs CGI! http://www/cgi?id=31159&montant=-300
5 - Architectures reverse-proxy t rev-proxy BD.R BD.M
6 - Architecture rweb mono-dmz RPC: Reverse Proxy Cache présentation cache t SFP: Secure Filtering Proxy authentification filtrage RPC+SFP http(s)://www2/ w.int2
7 - Architecture rweb multi-dmz RPC: Reverse Proxy Cache présentation cache t SFP: Secure Filtering Proxy authentification filtrage RPC http(s)://www2/ SFP w.int2
8 - Architecture rweb "pooling" RPC: Reverse Proxy Cache présentation cache t SFP: Secure Filtering Proxy authentification filtrage RPC http(s)://www2/ SFP w.int2
9 - Architecture rweb transparent RPC: Reverse Proxy Cache présentation cache SFP: Secure Filtering Proxy authentification filtrage t http(s)://www2/ RPC+SFP w.int2
10 - Architecture rweb: RPC RPC: Reverse Proxy Cache / 1.1 SSL + cartes accélératrices Cache t http(s)://www2/ Compression Validation/Unicité des requêtes RPC Traces CLF Relais SFP w.int2
11 - Architecture rweb: SFP SFP: Secure Filtering Proxy Authentifications: SSLv3 (CA, CRL, LDAP) Radius RSA/SecurID (ACE) User/Password (LDAP)... SSO RPC t http(s)://www2/ Filtrage: URI + args + data entêtes HTTP Validation/Unicité des requêtes Traces URI+args+data SFP w.int2 Relais
12 - rweb: Filtrage Automatique Assisté Outils automatiques: Validation fonctionnelle Création/Vérification/Mise au point des règles de filtrage Différents niveaux de filtrage "standard"... "strict"
13 - rweb: Filtrage "standard" Principe deny "attaque 1" deny "attaque 2"... permit *.html *.gif sans args ni data permit *.jsp args < 1000 & data < 2000
1 - rweb: Filtrage "strict" Principe permit *.html sans args ni data permit X.jsp args: - data: nom : type string_32 marie : type boolean... permit Z.jsp...
15 - Administration rweb Interface Web d admin authentifications rôles RPC traces t instances filtrage HTTPS HTTPS SFP https://sfp/admin/
16 - Performances rweb Appliance entrée de gamme Nombre de requête par seconde 1000 500 0 2561 13 23 92 365 369 72 596 327 287 287 256 1K HTTP 1K HTTPS 10K HTTP 10K HTTPS Type de requête cache + hit cache + reval no cache Tps de traitement d 1 req. (ms) 20 16 12 8 0 1 5 10 15 20 25 30 1K HTTP 1K HTTPS 10K HTTP 10K HTTPS # utilisateurs simultanés: cache + hit
17 - Disponibilité rweb Appliance HP Sun Logiciel Solaris Linux...
18 - HA rweb mono-dmz Haute Disponibilité rweb1 actif & rweb2 passif t cluster ou heartbeat http(s)://www2/ (rweb2) rweb1 w.int2
19 - HA/LB rweb mono-dmz Haute Disponibilité & Répartition de Charge rweb1 & rweb2 actifs t boitier HA/LB http(s)://www2/ rweb2 rweb1 w.int2
20 - HA rweb multi-dmz Haute Disponibilité rweb1 actif & rweb2 passif t cluster ou heartbeat http(s)://www2/ (RPC2) RPC1 SFP1 (SFP2) w.int2
21 - HA/LB rweb multi-dmz Haute Disponibilité & Partage de Charge rweb1 &rweb2 actifs t boitier(s) HA/LB http(s)://www2/ RPC1 RPC2 SFP1 SFP2 w.int2
22 - HA rweb transparent Haute Disponibilité rweb1 actif & rweb2 passif t cluster ou heartbeat http(s)://www2/ rweb1 w.int2 (rweb2)
23 - Questions / Réponses