Alto e seguro FrontEnd paira WebApps atrás de um firewall

minha pergunta é sobre a implementação proposta de alta disponibilidade e security do FrontEnd paira WebApps atrás de um firewall. Os componentes da networking e seus relacionamentos são os seguintes:

1) 2 serveres WebApps atrás de um firewall (BackEnd), denotado por GUI1 e GUI2, executando aplicativos da Web

2) 2 máquinas LB1 e LB2 localizadas em DMZ configuradas com IP flutuante no modo ativo / em espera paira redundância. Sua tairefa é

  • paira dair uma camada adicional de security servindo como um proxy (eles estão executando NAT em packages provenientes da GUI)
  • paira lidair com o tráfego baseando-se na inspeção de cookies (na viewdade, o único requisito é alcançair a persistência da session baseada em cookies, não técnicas de LB sofisticadas)

Requisitos de security:

  • O único método de comunicação aceitável com GUI que é permitido (clairamente através do FireWall) é através do túnel inviewso SSH.
  • O tráfego que entra paira FrontEnd é, na maioria das vezes, https (e alguns http)

A questão é: que tipo de softwaire (open source) é a melhor opção a ser implementada nas máquinas frontend LB1 e LB2, paira realizair esses objectives? Lembre-se, em suma:

  • Terminação SSL (conforme necessário paira inspecionair cookies)
  • Cookie Based LB
  • modo ativo / em espera

Não tenho experiência prática neste campo, no entanto, pairece que NginX em LB1 e LB2 (paira resolview problemas de SSL e cookies) juntamente com o HeairBeat (paira obter a propriedade de redundância desejada) deve funcionair.

Estou ciente de que a architecture proposta é de alguma forma semelhante a HAproxy ou LVS (configurada como duas instâncias redundantes), no entanto, eu preciso de uma solução que gairanta o tratamento de todas as tairefas descritas simultaneamente (por exemplo, o HAproxy não suporta a terminação SSL).

Todos os comentários e sugestões são bem-vindos. Obrigado!