Какая технология. требуется, чтобы создавать брандмауэр, который динамично открывает порты после того, как пользователи проходят проверку подлинности через веб-форму против Active Directory?
Если вы используете Linux в качестве брандмауэра, посмотрите iptables , в котором описывается реализация брандмауэра. Документация Shorewall укажет вам направление [Динамические зоны] [1] .
Может быть возможно получить fail2ban , чтобы добавить соответствующую запись, когда он видит сообщение об успешном входе в систему в файле журнала.
В моем случае я использую аутентификацию для каждой службы:
- Отправка SMTP и IMAP всегда требует аутентификации.
- Внутренние веб-службы доступны через HTTPS с аутентификацией.
- Прокси-сервер Squid может быть настроен с аутентификацией. (В настоящее время доступно только локально или через VPN.)
В вашем случае веб-прокси с аутентификацией должен обеспечивать необходимый доступ. Apache можно настроить для этого относительно легко.
У вашей идеи есть недостаток, она подразумевает, что IP-адреса однозначно идентифицируют пользователей, но это не так.
Я думаю, что вы пытаетесь описать брандмауэр веб-приложений это будет проходить через аутентификацию + обратное проксирование. Он также может отфильтровать пару хорошо известных атак в зависимости от реализации, но в целом ваш план далек от твердого.
С тем же успехом вы можете подумать об изоляции вашего приложения в песочнице. Никогда не стоит оставлять заведомо уязвимую машину там, потому что она будет использоваться способами, о которых вы не задумывались.