Só estou lendo sobre a Cisco Web Security Appliance, e tendo trabalhado com Bluecoats no passado, na verdade não vejo mais sentido em servidores proxy atualmente. Se você tem um firewall decente com recursos de próxima geração (IPS, Detecção de Malware, Filtragem de URLs, Fontes Dinâmicas etc), então não vejo vantagem real em usar um proxy. Claro que você pode economizar alguns megabytes com cache, mas as pessoas têm conexões grandes hoje em dia, então ninguém se importa; mas mesmo que se importe, você usaria uma caixa de otimização WAN como uma Riverbed, que é muito mais barato. Estou apenas frustrado porque continuo lendo sobre isso, e me pergunto, bem, o que ele faz que um NGFW já não possa fazer? Tem alguma coisa que estou deixando passar? É só uma forma de descarregar alguma carga para redes muito grandes, talvez? Não sei.
Estou frustrado porque continuo lendo sobre isso, e me pergunto, bem, o que ele faz que um NGFW já não possa fazer.
Tecnicamente, esse NGFW é um proxy, mesmo estando inline com o tráfego. A parte de proxy é quando o tráfego é desviado para o software que faz filtragem ou o que for. Em algum momento, esse hardware não conseguirá lidar com a carga de responsabilidades do NGFW mais o proxy; então você pode separá-los.
Por que ainda usar um proxy web, na minha experiência com Sophos Web Appliances
- os relatórios são muito melhores e mais detalhados.
- é muito rápido e simples criar outro VA e adicioná-lo ao cluster.
- ótima integração com Active Directory.
- o usuário pode solicitar acesso a sites bloqueados na mensagem de bloqueio no próprio navegador. Nós só recebemos um email com a solicitação.
- integra-se com a proteção de endpoint da Sophos, então qualquer navegação fora do local tem as mesmas restrições aplicadas, e toda atividade é reportada de volta.
- muito fácil criar políticas e grupos aninhados para aumentar as restrições e a segurança.
Para ser honesto, mesmo com NGFW (experiência com Checkpoint e Palo Alto), achei que a filtragem e restrição de camada 7 pelo proxy são muito superiores. O que, para ser justo, não é surpreendente, pois são dispositivos dedicados à camada 7, enquanto essa é uma função que foi adicionada aos firewalls.
Você não está totalmente errado. Proxies atualmente são mais do que apenas cache. Usamos nossos Bluecoats principalmente para filtragem web. Assim podemos bloquear pornografia, serviços de compartilhamento de arquivos e outros sites que a gestão não quer que as pessoas acessem no trabalho. Eles também podem ser usados para fazer decodificação SSL se as empresas quiserem por esse caminho. Outra coisa que eles podem fazer é escanear arquivos em busca de vírus conhecidos.
Na verdade, estou pensando em substituir nossos BCs por uma solução de filtragem DNS como Umbrella. Os BCs são complexos e muitas vezes temos problemas onde eles bloqueiam algo, geralmente devido a um problema de certificado, e é difícil descobrir o motivo.
A principal razão pela qual usamos um proxy dedicado em vez de tentar colocar mais uma tarefa nos nossos firewalls voltados para a internet é capacidade. Nosso proxy atualmente é uma estrutura com 22 lâminas balanceadas. Muitas lâminas podem falhar antes que a experiência do usuário comece a deteriorar. Usar um proxy dedicado também ajuda na política da organização, pois as equipes de rede e segurança podem estabelecer limites mais firmes.
E como já disseram, é mais do que apenas cache, embora eu discorde sobre o benefício nisso. Você economiza muito mais do que alguns megabytes quando há dezenas ou centenas de milhares de usuários por trás dele. Usamos para filtragem de URL, análise de conteúdo e filtragem de acesso limitado para servidores (como permitir que servidores acessem apenas um punhado de URLs predeterminadas, com todo o resto do tráfego de saída bloqueado).
Por último, só porque um NGFW pode fazer isso, não quer dizer que possa fazer tão bem quanto a plataforma dedicada. Não olhei as capacidades de filtragem de conteúdo web do nosso fornecedor de firewalls, mas recomendei contra usar a capacidade de IPS deles porque ela não tem paridade de recursos com o nosso IPS atual.
Possivelmente defesa em profundidade?
Ainda vejo eles muito em redes “altamente seguras”, onde a rede interna não tem gateway padrão e também nenhum DNS externo resolvendo.
Você coloca um Proxy1 na DMZ1, acessível do interno. rota estática para proxy 2.
Outro proxy2 na DMZ2, com gateway para a internet, e conectividade somente com o proxy 1 na parte interna.
Assim, clientes internos podem acessar (restrito) a internet, mas fica muito difícil conectar-se a algo externo, ou que algo externo se conecte de volta.
Para redes empresariais genéricas? Boa proteção de endpoint e algo como Umbrella geralmente funciona 
Em uma configuração de acesso, eles fornecem filtragem, cache e registro centralizados. Podem ser altamente resilientes também. E muitos deles têm recursos de firewall integrados, portanto muitas vezes são o mesmo dispositivo.
Uma razão para separá-los pode ser apenas uma questão de definir responsabilidades - se você tem um engenheiro de rede e um engenheiro de suporte interno, pode desejar que o suporte interno gerencie o proxy web, mas não mexa no firewall.
Em um ambiente de provedor, você pode usar um proxy ou proxy reverso para fornecer suporte SSL onde a aplicação subjacente não tem, ou talvez o software seja antigo / não confiável ou simplesmente não tenha a segurança granular que você deseja. Você também pode usá-los para distribuir onde os recursos são servidos e, obviamente, para fazer cache dos recursos mais acessados.
Embora a largura de banda acessível a indivíduos e empresas esteja certamente aumentando, isso não significa que seja gratuita ou que não será contestada. Se você trabalha para uma pequena ou média empresa, talvez não precise se preocupar com um proxy. Se você é um ISP ou está realizando algum tipo de grande evento, talvez ache um proxy de cache muito útil.
Um ponto que faço sobre proxies é que, se você usar um “serviço de proxy em nuvem” como Zscaler, pode aplicar filtragem web (+mais) no computador de um usuário, esteja ele na rede corporativa ou no Wi-Fi do McDonald’s.
NGFWs são ótimos se você estiver no escritório ou usando VPN, mas no mundo moderno de ‘qualquer dispositivo, qualquer lugar’, as pessoas querem se afastar de escritórios e até de VPNs, mas ainda assim fornecer segurança aos dispositivos finais.
Dns over https e TLS mais recentes que dificultam / tornam impossível a inspeção MITM SSL provavelmente trarão um ressurgimento no uso de proxies diretos. Só minha opinião, mas do que mais vamos precisar para trabalhar na inspeção? Não estou ansioso por esse cenário, mas você não pode deixar a Linda do accounting navegar na web sem proteção.
Alguém acho que mencionou Umbrella - ótimo produto e nós o usamos como um dos quatro produtos para nossa estratégia de segurança (antivírus no cliente, MTA hospedado para segurança de email, DNS Umbrella e inspeção profunda de SSL no NGFW)
Nossos únicos proxies web restantes onde trabalho são para cache de dados do Steam, assim nossa equipe de QA pode buscar builds do jogo em menos tempo, sem prejudicar nosso acesso geral à internet. Estamos falando de instalações rápidas, em 10 minutos, ao invés de horas por funcionário, e TBs de dados por mês.
Podemos perceber se o servidor ficou sem espaço (eles têm 8TB de cache) ou se não está funcionando, pois pode acabar com o tráfego do Steam atingindo 400GB ou mais em 24h, se não for corrigido.
O dia em que a Valve mudou para usar HTTPS foi o dia em que tive que QoS o tráfego do Steam bastante e lidar com muitas reclamações. A Valve voltou ao HTTP rapidamente.
Boa sorte com a descriptografia HTTPS em um NGFW.
Não vamos esquecer a melhor razão para usar um servidor proxy… a capacidade de enganar as pessoas…
Um dos meus favoritos para 1º de abril, um script proxy Squid que transforma imagens com mogrify e as vira 180 graus, e depois as entrega ao cliente.
Embora eu não tenha sido tão ousado a ponto de colocar toda a minha rede nisso, uma lista rápida de IPs de alguns clientes escolhidos me mantém entretido há anos, quando tenho tempo para montar isso.
Sim, descarregando tráfego. Achamos útil usar proxies Oxylabs para distribuir nossas solicitações de forma mais eficiente. Caso contrário, teríamos problemas com bloqueio de IP.
Usamos WSAs. Eles fornecem relatórios por usuário muito melhores do que qualquer outro. Também fazemos decodificação SSL/TLS para podermos aplicar corretamente as políticas e fornecer páginas de bloqueio. Também escaneamos dentro das solicitações web para malware. Não estamos fazendo isso por cache. Isso também nos permite controlar o acesso à internet por meio de um funil, em vez de permitir tudo de saída. É mais uma camada para reforçar nossa postura de segurança.
Na minha experiência, cada vez mais desenvolvedores de software parecem regredir e não consideram mais adicionar configurações de proxy em seus aplicativos, especialmente autenticação de proxy.
Ou, melhor ainda, eles incluíram essas configurações, mas optam por ignorá-las em 2 ou 3 chamadas dentro do aplicativo, o que força você a abrir seu firewall para permitir acesso direto a clientes às portas 80/443…
Tornando evidente que eles certamente não testam suas versões de desenvolvimento com proxies explícitos.
Concluí que ou proxies explícitos estão sendo eliminados cada vez mais (provavelmente, como você mencionou, porque a maior parte do benefício pode ser entregue por um NGFW hoje em dia) ou faz parte de uma regressão geral na qualidade do software, mas não entendo — quando abro um navegador em um terminal Windows, como um NGFW ou proxy transparente pode descobrir qual usuário no TS tenta abrir o site?
Então, NGFW / proxy transparente = políticas só podem ser combinadas pelo IP do cliente, e cada usuário de um determinado TS pode acessar os mesmos sites?
Como isso é aceitável se você precisa de responsabilidade? “Quem tentou abrir este URL?”
Tunel dividido + proxy web SAAS
Duas coisas principais:
Pense no caso de você ter uma rede enorme e o acesso à internet centralizado no HQ… a única maneira de restringir o acesso a usuários em locais remotos sem permitir que eles modifiquem os gateways padrão é empurrar via GPO as políticas do proxy que seriam usadas para todo o tráfego HTTP e HTTPS.
Em segundo lugar, escalabilidade. É verdade que hoje em dia firewalls podem fazer quase tudo, mas você não consegue escalar grandes demandas de rede com um firewall só e habilitar IPS, proxy, decodificação SSL, VPN, publicação web, etc. Com proxies dedicados, você pode descarregar parte do tráfego SSL e aproveitar alguns benefícios do AsyncOS, que é diferente do FTD, mesmo que ofereçam as mesmas fontes de segurança.
Usamos um proxy para limitar o acesso a sites externos com um banco de dados de lista branca, cujas permissões podem se aplicar a um usuário, grupo ou uma máquina específica.
Se você tem um data center realmente, realmente grande - pense em Terabits por segundo de throughput - proxies são absolutamente incríveis para gerenciar conexões de saída. Adicionar um NGFW para lidar com 100 mil hosts assim é simplesmente muito caro para configurar e manter.
Nem todos os servidores precisam de DIA, então colocar serviços atrás de proxies autenticados permite configurar controles granulares para quais URIs, portas e protocolos o serviço pode se comunicar externamente da sua rede.
Proxies podem ser balanceados para um VIP compartilhado através de um pool de 50 proxies Squid, então se um proxy falhar, você perde uma pequena parte da sua capacidade total — não uma mudança grande no tráfego como se fosse um firewall em cluster.
Para sair na Internet, os proxies teriam uma rota padrão através de dispositivos CGNAT para dar um IP público via NAT de origem. Sem precisar rodar firewalls caros, uma sistema que custa um terço do firewall pode lidar com NAT/PAT simples.