Для максимальной безопасности я должен использовать распределенный режим или обратную установку прокси?
Я работал с ColdFusion в течение долгого времени. Что-то, что было отобрано в моем мозгу, - то, что для максимальной безопасности Вы должны физически отдельный веб-сервер с сервера ColdFusion. Таким образом, я всегда делал это использование, что Adobe называет "распределенным режимом". IIS находится на одном сервере, и ColdFusion находится на другом сервере. Они связываются через веб-коннектор, как обычно, хотя по сети.
В течение нескольких лет теперь я столкнулся с сообщениями, которые упоминают, что использовали обратный прокси, так же безопасно как работающий в распределенном режиме. С обратной установкой прокси веб-сервер и сервер ColdFusion находятся на той же реальной машине, но существует прокси-сервер, который обрабатывает запросы и функции как веб-сервер (в основном). Все еще в моем уме я вижу физическое разделение, как являющееся более безопасным.
Трудно найти любую категорическую рекомендацию в Интернете. Распределенный режим все еще упоминается даже в документации ColdFusion 11 - Для получения дополнительной информации об Инструменте конфигурирования веб-сервера, включая информацию о размещении в разных сетях и распределенном использовании, посмотрите Конфигурирование и Администрирование руководства ColdFusion. (Хотя нет действительно большой информации об этом на той странице, на которую ссылаются.) И установки, кажется, упоминаются на различных блогах и сообщениях, но я нахожу это более распространенным, что люди используют обратную установку прокси, а не распределенную установку режима. Ничто конкретное, просто мое восприятие, поскольку я обыскивал сеть. Выполнение в распределенном режиме, с веб-сервером и сервером ColdFusion на отдельных серверах, определенно добавляет слой сложности при установке вещей. Статические файлы находятся на веб-сервере и файлах CFML на сервере ColdFusion. И т.д. При использовании сторонних продуктов, это может быть трудно настроить правильно.
Таким образом, мой вопрос, предполагая, что все остальное равно для максимальной безопасности, Вы используете распределенный режим или обратную установку прокси? И некоторые причины, почему Вы делаете.
К сожалению, блокировка ColdFusion вниз ведет, путают вопрос. Вот то, что я нашел.
В блокировке ColdFusion 9 вниз ведут (страницы 14-15), она указывает:
Вы могли бы также считать установку ColdFusion в распределенном режиме. Это позволяет веб-серверу находиться на физически отдельном сервере с сервера ColdFusion. Можно также подключить несколько веб-серверов к единственному серверу ColdFusion (это называют размещением в разных сетях в документации ColdFusion 9). Это разделение может обеспечить дополнительную безопасность и должно быть рассмотрено в средах, требующих максимальной безопасности. Для установки распределенного режима выберите встроенную опцию веб-сервера. Для получения информации о конфигурировании распределенного режима см. http://www.adobe.com/support/coldfusion/administration/cfmx_in_distributed_mode/cfmx_in_distributed_mode02.html. Для получения дополнительной информации о размещении в разных сетях, см. http://help.adobe.com/en_US/ColdFusion/9.0/Admin/WSc3ff6d0ea77859461172e0811cbf364104-7fc3.html.
Другой способ разделить общедоступный веб-сервер и сервер ColdFusion при помощи обратного прокси. В обратной установке прокси серверу ColdFusion все еще установили веб-сервер, но все внешние клиентские запросы обработаны прокси-сервером, и определенные запросы отправлены к серверу ColdFusion для обработки.
В блокировке ColdFusion 10 вниз ведут (страница 27), что оператор был обрезан вниз к этому:
Поскольку максимальная безопасность рассматривает выполнение веб-сервера и ColdFusion на отдельных физических серверах. Один способ разделить общедоступный веб-сервер и сервер ColdFusion при помощи обратного прокси.
В обратной установке прокси серверу ColdFusion все еще установят веб-сервер, однако все внешние клиентские запросы будут обработаны прокси-сервером, и только определенные запросы будут отправлены к серверу ColdFusion для обработки. Консультируйтесь со своей документацией веб-серверов для установки обратного прокси.
И в блокировке ColdFusion 11 вниз ведут нет никакого упоминания о также. Кажется, что это должно идти или вокруг страницы 11, которая является, где операторы были расположены в других документах наряду с выполнением инструмента конфигурирования веб-сервера. Мне очень любопытно относительно того, почему Pete вынул это из последнего документа.
В то время как я использую Adobe ColdFusion, я отметил этот вопрос с Railo также для более входа.
Вы путаете "распределенный режим" (когда веб-сервер и сервер CF находятся в разных ящиках) как взаимоисключающие с использованием обратного прокси. На самом деле это две разные проблемы. Обратный прокси - это просто альтернатива использованию стандартного веб-соединителя. Он просто заставляет ваш веб-сервер (IIS, Apache, Nginx) перенаправлять запросы для страниц CFML к порту HTTP / HTTPS или AJP на заданном хосте / порте в вашем CF-боксе. Вы можете настроить обратный прокси-сервер для прокси на localhost ИЛИ на любой другой сервер в вашей сети, пока соответствующие порты открыты.
Ex . Вы можете включить прослушиватель AJP в Tomcat на порту 8009. Затем на своем веб-сервере Apache (который может находиться в любом месте вашей сети) вы выполняете обратный проксирование. y запрашивает файлы .cfm на этот порт с помощью модуля proxy_ajp.
Я никогда лично не имел дела с распределенным режимом, поскольку кажется, что существует гораздо меньшее количество векторов атак, направленных на мои веб-серверы. Но если вы решите использовать «распределенный режим», вы можете сделать это с помощью стандартного коннектора ИЛИ обратного прокси. Выбор за вами.
РАСПРЕДЕЛЕННЫЙ режим или установка ОБРАТНОГО ПРОКСИ обеспечат в основном аналогичный уровень безопасности, но РАСПРЕДЕЛЕННЫЙ режим будет иметь дополнительные серверные сценарии ВЫСОКАЯ ДОСТУПНОСТЬ И НАДЕЖНОСТЬ.