Skip to content

TrendMicro InterScan Web Security via NetScaler LB / CS

by Sascha Frantzke on August 6th, 2012

Auf der Suche nach einer skalierbaren Viruswall für eingehenden Webtraffic haben wir eine spannende Kombination aus NetScaler Content Switching, Loadbalancing und der Trendmicro InterScan Web Security Appliance (IWSVA) zusammengestellt und damit gute Erfahrungen gesammelt.

In unserem konkreten Beispiel benötigte der Kunde eine Lösung um File Uploads in eine geschützte Umgebung zu realisieren und abzusichern. Für diese Anforderung kam die IWSVA gerade richtig, virtuell supported für vSphere und HyperV ist man schnell in der Lage mit einem PoC alle Anforderungen abzuklopfen und kann im Anschluss schnell horizontal erweitern und in Betrieb gehen. Darüber hinaus ist man virtuell einfach besser aufgestellt wenn der Kunde Systeme für verschiedene Staging Umgebungen benötigt.

Im aktuellen Beispiel lassen wir der Einfachkeit halber den gesamten eingehenden Traffic über die IWSVA laufen. In einer späteren Ausbaustufe sollte man sich aber Gedanken machen über die Trennung von GET und POST Requests, um die IWSVA nicht unnötig zu belasten.

Die User Sessions terminieren auf dem Content Switch der bestehenden NetScaler VPX. Hier können wir Policy-gesteuert den Ursprung der Session analysieren (http Header, Source IP) und die Session bei Bedarf an die Loadbalancing vServer für die IWSVA Anbindung leiten. Die IWSVA läuft als Reverse Proxy und scannt die Session auf die verschiedenen Sicherheitsbedrohungen. Im Anschluss werden die Sessions wieder an den Content Switch geleitet um hier weitere Prüfungen vornehmen zu können. In dieser vereinfachten Darstellung werden die Sessions an die Loadbalancing Prozesse für den Webservice geleitet.

Anhand der folgenden Grafik lässt sich die Architektur für diese Lösung gut erkennen.

 

Auf den ersten Blick schnell implementiert, dennoch sollte man sich die Zeit nehmen beim Design der Content Switching Policies und der Loadbalancing Details.

No comments yet

Leave a Reply

You must be logged in to post a comment.