Kirikuzudo Blog

で、このSSL-VPN装置なんですが、主に使っているのが、
https Reverse Proxy を利用した社内Webサーバへのアクセス。

ところが、これはhttpsでトンネルしてきたhttpを一度、Parseするので、
FirePassのCPUとメモリを結構、食べる。
ついでにParseの処理はCPUのソフト処理なんで結構、遅い。
ユーザーにもレスポンス悪いって言われる。

そんなわけで、今度、httpsでトンネルを作って、ポート転送するタイプの処理に
全部、置きかえられるように提案してみようかと思っています。

これだと処理は簡単だし、クライアント側が処理の半分を受け持つことになるので、happyです。
装置の負荷も減るし、レスポンスも良くなるし、なによりParserのところで
sedスクリプトでユーザーが社内Webサーバに実装した変なJavaScriptやHTMLをエスケープする
対応を（俺が）ちまちましなくて済むのが、いちばんhappyです。ええ。
ときどき全力で殺意を覚えるんです。ServletのソースとかOASのソースとか送り付けてくる奴に。

ほんとはメインじゃない機能なんだけど、IPSec-VPN(3DES)なんかは
たぶんIntel製のネットワークプロセッサIXPがさっくり処理してくれるから超高速なんだろうけどね。
それを使ったらSSL-VPNじゃないし、それだったらCheckPoint VPN-1 SecuRemoteでいいじゃん、と。

まあ、Firewallをsonicwallみたいなアプライアンスに置き換えたら、IPSec-VPNの使用も検討したいね。
最大同時セッションが今のところ４０くらいだし、
FirePass 4150ハードウェア＋250同時セッションライセンスの最強装備が泣いているから。