第三方安全专家建议我们在 Web 服务器(均托管在 DMZ 中)前运行反向代理作为最佳实践安全措施。
我知道这是一个典型的推荐架构,因为它在 Web 应用程序前面提供了另一个级别的安全性以防止黑客。
然而,由于反向代理在用户和内部 Web 服务器之间愉快地来回穿梭 HTTP,它不会提供任何防止对 Web 服务器本身进行黑客攻击的措施。换句话说,如果您的 Web 应用程序存在安全漏洞,代理将不会提供任何有意义的安全性。
并且考虑到攻击 Web 应用程序的风险远高于攻击代理的风险,在中间添加一个额外的框真的有很多好处吗?我们不会使用反向代理的任何缓存功能——只是一个来回传输数据包的愚蠢工具。
还有什么我在这里想念的吗?反向代理 HTTP 数据包检查是否变得如此出色,可以检测到有意义的攻击而没有重大性能瓶颈,或者这只是安全剧院的另一个例子?
反向代理是 MS ISA fwiw。
我很难在我的 Linux 服务器(Ubuntu 12.04)上配置 OpenSWAN 以连接到 ISA Server 2004 IPSec VPN。阻碍隧道工作的配置显然有问题。看起来我的一些数据包在某处丢失了?我不确定。
对方说他们这边的日志没有任何问题。我这边没有防火墙。这是/var/log/auth.log
(下面的更长版本)中的违规部分。
Jan 29 17:28:11 P-INV-SD07 pluto[5821]: "myconn" #1: transition from state STATE_MAIN_I2 to state STATE_MAIN_I3
Jan 29 17:28:11 P-INV-SD07 pluto[5821]: "myconn" #1: STATE_MAIN_I3: sent MI3, expecting MR3
Jan 29 17:28:12 P-INV-SD07 pluto[5821]: "myconn" #1: discarding duplicate packet; already STATE_MAIN_I3
Jan 29 17:28:34 pluto[5821]: last message repeated 3 times
Jan 29 17:28:42 P-INV-SD07 pluto[5821]: packet from <hispublicip>:500: Informational Exchange is for an unknown (expired?) SA with MSGID:0x8341092b …
Run Code Online (Sandbox Code Playgroud) 我在 ISA 服务器后面有一个 WSDL。WSDL 包括一个模式
<xsd:include schemaLocation="myschema.xsd"/>
但是,当通过 ISA 访问时,某些隐式映射会将服务器名称更改为应用程序名称“TEST”,如下面的 xsd:include 行所示
<xsd:include schemaLocation="http://TEST:8345/myservice?xsd=myschema.xsd"/>
可以使用 URL 访问 WSDL -
https://services.mycompany.com/myservice?wsdl
可以使用 URL 访问架构 -
https://services.mycompany.com/myservice?xsd=myschema.xsd
问题是 WSDL 中模式的翻译 URL 不正确。它需要是
<xsd:include schemaLocation="https://services.mycompany.com/myservice?xsd=myschema.xsd"/>
代替
<xsd:include schemaLocation="http://TEST:8345/myservice?xsd=myschema.xsd"/>
ISA 人员是否需要为此设置一些 ISA 规则(用于替换 WSDL 中的 URL)?他需要创建/更改什么规则?
我被要求隔离我们网络中的测试环境以提高我们的安全性。
我们的结构包括:
为了完成这项任务,我计划执行以下操作:
我的计划是按照我的要求去做的最佳方式吗?
我们正在运行 SBS 2003 SP2,我想知道是否有任何简单的方法可以找出特定时间的流量是从哪里生成的?
就我而言,每天的总流量消耗大约为 8GB。我不关心一般流量(那些 8GB 主要包括在夜间传输备份文件),但在特定时间范围内。
举个例子:突然在上午 10 点 30 分,互联网连接速度明显变慢。我检查了我们的自动备份和其他传输服务,但它们都没有运行。我仍然有一个网络,其中大约有 15 台 PC 散布在建筑物周围,这可能会产生流量。
我们只有2MBit的小线路,所以在办公时间线路很快就饱和了。我不怀疑任何用户做错了什么,我认为有一些软件自动化的事情正在发生,但我不确定。也许是 Windows 或 Adobe 自动下载,但我如何确定?
我已经在查看 ISA 2004 生成的报告并看到很多数字,但我无法确定哪个客户端生成了流量。
通过转到任务管理器中的网络选项卡,我可以看到服务器本身的峰值,我看到外部 100Mbit 接口为 2% == 2Mbit,但我无法弄清楚它实际上来自哪里。
我想我可以排除它是服务器本身产生的流量,因为来自外部接口的流量图与为我的用户提供服务的 LAN 接口相匹配(我们的 DMZ 接口,其中包含我们的自动备份服务,当时为 0 )。
我怎样才能进一步解决这个问题?
如何在网络中使用端口 80 和 443 时阻止 SKYPE。(如果我可以通过使用 ISA 2006 并且不禁用 Web 来做到这一点会更好)我知道如果用户无法安装 Skype,他们将无法使用它。所以没有那个?