Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 1617 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Deployment web security suggestion

quartino
Hi,
we want to implement an Astaro web security solution.
Now we use Squid Proxies on all our 5 sites.
Which is the most secure deployment with Astaro Web Gateways.
Proxy Transparent mode?
Proxy classic mode?
Bridge mode?
Thank you


This thread was automatically locked due to age.
Parents
  • 0
    I think the HTTP/S Proxy functions equally whether the Astaro is in bridge mode or not.  I don't think there's any real difference in the security of 'Transparent' or 'Standard' HTTP/S Proxy mode.

    Rather than Standard or Transparent, if you have Active Directory, then authorization with 'Active Direcory SSO' gives you tremendous control and great reporting.  This works only with Internet Explorer, not with other browsers.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    I agree with you but from what I understand IM and P2P are note controlled if I use the standard mode so the most secure way to control it is to put the ASG in bridge mode between the LAN and the firewall.
    Can you confirm that?

    Cheers.

    Andrea
Reply
  • 0 in reply to BAlfson
    I agree with you but from what I understand IM and P2P are note controlled if I use the standard mode so the most secure way to control it is to put the ASG in bridge mode between the LAN and the firewall.
    Can you confirm that?

    Cheers.

    Andrea
Children
  • 0 in reply to quartino
    Andrea, I'm not sure I understand your last post.  It's a question of the precise use of terms as used in the Astaro.  IM/P2P is unrelated to the 'Standard' mode of the 'HTTP/S Proxy'.  I assume you mean "not-bridged" when you say "standard."

    Is your environment so complex that you need another firewall in addition to the Astaro?  If you are running the entire network through the ASG before the traffic hits your firewall, then you probably do need to bridge.

    If you choose to bridge, you won't be able to use Quality-of-Service.  Can you replace your existing firewall with the Astaro?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Bob,
    the problem is that we're reselling Astaro from this month, now I have my first project to install.
    The idea is to offer a web security solution secure as much as possible.
    We don't need to use Astaro as a Firewall because we normally use Checkpoint and Cisco for this kind of products, we want to use Astaro just for web security integrated with Active directory and speaking with our distributor they tell us that there 3 deployment mode.
    1) Standard proxy
    Astaro is used as proxy configured in the browser, authentication with AD in SSO supported but no Instant messaging and P2P control
    2) Transparent proxy
    Nothing to do but no authentication and Instant messaging and P2P control
    3) Bridge mode
    Nothing to do but authentication with AD in SSO, instant messaging and p2p control supported.
    For this reason we decide to take as a standard for our installation the bridge mode with HA considering that it become a single point of failure.
    The problem is that to have HA and bridge mode there's the need to have 3 interface 2x for bridging and 1x for HA connection but the web gateway 1000 and 2000 have only 2 interface so we need to offert the Security Gateway even if we don't use the packet filtering because all our customer have another firewall that can do QoS.
    What do you suggest as a web security solution deployment that can control also Instant messaging and P2P?
    Cheers.
    Andrea
  • 0 in reply to quartino
    'Transparent HTTP/S Proxy' and 'Transparent Bridge Mode' are two, unrelated concepts.  Although I haven't confirmed this personally, I believe that you can put the Astaro into either bridged or unbridged mode then freely choose from any of the HTTP/S Proxy modes.  It does seem better to use bridged mode in your scenario.

    If you can use AD SSO, then that's the best way to go.  Start here: https://community.sophos.com/products/unified-threat-management/astaroorg/f/55/t/43932

    Depending on the number of IPs visible to the Astaro, we might select the Astaro software solution instead of an appliance.  In that case a unit with RAID, dual fans and dual power supplies is almost as reliable as two separate units configured in HA.

    If you haven't yet done the ACE V7.3 course, I would recommend it.  The documentation with the course is very helpful in understanding how the Astaro works.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Bob,
    thank you for your support, about the course I hope I'll do asap.
    For us is important to deploy a solution with control on Instant messaging and P2P without changing the IP infrastructure, from what I understand the only way is to configure the web gateway in bridge mode, correct?
    Cheers.
    Andrey
  • 0 in reply to quartino
    That's my understanding.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA