Dar*_*ren 15 security proxy reverse-proxy isa-server
第三方安全专家建议我们在 Web 服务器(均托管在 DMZ 中)前运行反向代理作为最佳实践安全措施。
我知道这是一个典型的推荐架构,因为它在 Web 应用程序前面提供了另一个级别的安全性以防止黑客。
然而,由于反向代理在用户和内部 Web 服务器之间愉快地来回穿梭 HTTP,它不会提供任何防止对 Web 服务器本身进行黑客攻击的措施。换句话说,如果您的 Web 应用程序存在安全漏洞,代理将不会提供任何有意义的安全性。
并且考虑到攻击 Web 应用程序的风险远高于攻击代理的风险,在中间添加一个额外的框真的有很多好处吗?我们不会使用反向代理的任何缓存功能——只是一个来回传输数据包的愚蠢工具。
还有什么我在这里想念的吗?反向代理 HTTP 数据包检查是否变得如此出色,可以检测到有意义的攻击而没有重大性能瓶颈,或者这只是安全剧院的另一个例子?
反向代理是 MS ISA fwiw。
Apache 有 mod_security,它将检测常见的安全攻击。还有 mod_cband,可以限制使用的带宽。如果 ISA 有类似的东西,我不会感到惊讶。如果没有在 HTTP 流量通过代理时对其进行实际检查,从安全的角度来看,这一切都毫无意义。
反向代理将为您提供负载平衡、故障转移、缓存、SSL 和文件管理卸载,让您的 Web 服务器做他们擅长的事情:提供 HTML。
ISA Server 能够查找并阻止各种 HTTP 攻击,并阻止它们访问 Web 服务器。虽然大多数现代 HTTP 服务器不再可被利用,但它确实具有不将此流量发送到 Web 服务器的额外好处。
此外,ISA 可以更轻松地执行诸如向各种 URL 添加 SSL 加速和用户预授权等操作。它甚至可以充当您的负载平衡器,因此您可以轻松添加更多 Web 服务器,而无需使用单独的硬件负载平衡器。
一定要考虑这个人在 ISA 上给出的专业意见,并权衡它与管理和运行 ISA 将花费多少额外开销与收益相比。
Web 服务器前的反向代理会提高安全性吗?
反向代理为您提供了一些可能使您的服务器更安全的东西。
没有过滤的反向代理不会自动保护您免受一切侵害,但如果您需要保护的系统是高价值的,那么添加反向代理可能值得花费支持和性能成本。
它可以保护您的应用程序服务器免受基于不良 HTTP 请求的攻击......特别是如果可以在反向代理(而不是应用程序服务器)上准确配置良好请求的外观并且不允许不良请求通过。如果你必须告诉它糟糕的请求是什么样的,它几乎肯定是没用的。换句话说,它可以防止缓冲区溢出攻击,但不能防止 SQL 注入。
大多数情况下,它听起来像安全剧院。您聘请了一名安全顾问,他们必须告诉您可以采取哪些措施来提高您的安全性。攻击者不太可能闯入反向代理,如果他们只是绕过它,他们总是可以责怪你;所以这是一个安全的建议。