Вопросы Теги

Запретить прямой доступ к моему серверу с помощью обратного прокси-сервера

У меня есть веб-сервер, установленный в Microsoft Azure , и с ним связано доменное имя например www.example.com . Этот веб-сервер очень важен, и я не хочу, чтобы кто-либо, кроме одного или двух человек, знал точный URL-адрес или его IP-адрес. Я считаю, что прямой доступ к этому веб-серверу будет огромной угрозой безопасности, и хочу предотвратить прямой доступ к нему моих рабочих.

Зачем нужны ограничения?

  • Запретить прямой доступ
  • Я не хочу, чтобы мои сотрудники получали доступ к моему веб-серверу за пределами моего офиса.

Даже с учетом этих ограничений я хочу, чтобы один или два человека по-прежнему имели доступ к этому веб-серверу напрямую (в случае возникновения чрезвычайной ситуации).

Мои мысли

Установить обратный прокси в моем офисе. Разрешить работникам доступ к моему веб-серверу, как если бы веб-сервер находился в нашей локальной сети.

Итак, когда пользователи набирают 

172.16.10.1 <---> Reverse Proxy <---> www.example.com

, я уверен, возможно ли то, что я планирую сделать, или нет. Если у вас есть другие идеи, дайте мне знать.

Визуальное представление

В настоящее время я не настроен для предотвращения прямого доступа. Ничего не пробовал.

РЕДАКТИРОВАТЬ

Я не могу ограничить доступ к моему веб-серверу с помощью IP (есть и другие причины этого)

-2
задан 21 September 2019 в 09:30
6 ответов

Если доступ к серверу имеют немногие люди, почему он находится в общедоступном Интернете? Попытка скрыть домен и IP-адрес не останавливает автоматические атаки, проходящие случайным образом через все общедоступные IP-адреса. Вероятна утечка информации о сверхсекретном доменном имени. Это неподходящий подход для критически важной службы.

Естественно, вы можете использовать брандмауэр, чтобы разрешить подключение только с общедоступных IP-адресов вашей офисной сети, но у Azure есть лучшая альтернатива: с Azure Виртуальная сеть , серверу вообще не нужно иметь публичный IP-адрес. Вместо этого сервер будет доступен через VPN типа "сеть-сеть" из локальной сети офиса с использованием частного IP-адреса. Это заставляет виртуальный сервер в облаке действовать так, как если бы у вас был локальный сервер.

0
ответ дан 5 December 2019 в 21:14

Я не могу ограничить доступ к моему веб-серверу по IP-адресу (есть и другие причины этого)

Безопасность неизвестностью никогда не работает. Многие враждебные организации постоянно сканируют Интернет на предмет (уязвимых) хостов, поэтому, даже если вы где-то не публикуете точный URL или IP-адрес, его все равно можно найти (и поскольку вы используете общедоступное облако,он будет найден ).

Итак, когда пользователи вводят

172.16.10.1 <---> Обратный прокси <---> www.example.com

, я уверен возможно ли то, что я планирую делать, или нет. Если у тебя есть другие идеи, пожалуйста, дайте мне знать.

Вы всего лишь пытаетесь решить, как вы будете предоставлять свою службу внутренним пользователям, а не решаете проблему безопасности вообще.

Это невозможно обойти, если вы не ограничиваете на уровне сети, что по-прежнему является лучшим подходом для использования ресурса, расположенного в общедоступном облаке.

2
ответ дан 5 December 2019 в 21:14

Вы можете двигаться в двух направлениях:

  1. Настроить брандмауэр для разрешения исходящего трафика на порте 80/443 только для выбранного диапазона IP-адресов
  2. Настроить базовую аутентификацию с веб-сервера.
  3. Настройте VPN: проксируйте сетевой трафик через VPN.

Второе решение основано на пароле, поэтому каждый пользователь, которому нужен доступ, должен пройти аутентификацию с использованием user: pass (база данных не требуется).

При первом решении никто не может подключиться, если ему не разрешено взаимодействовать с сервером (на основе брандмауэра)

0
ответ дан 5 December 2019 в 21:14
  1. Есть VPN, соединяющая локальную сеть с сетью Azure.
  2. Какой обратный прокси-сервер вы используете? С помощью F5 вы можете использовать APM для ограничения доступа к сайту
0
ответ дан 5 December 2019 в 21:14

Вы можете обновить DNS до записи c-name и перенаправить на нее с помощью приложения балансировщик нагрузки уровня, такой как шлюз приложений.

0
ответ дан 5 December 2019 в 21:14
  1. შექმენით ქსელის უსაფრთხოების ჯგუფი (nsg)
  2. დააკავშირეთ nsg თქვენს სერვერზე nic ან subset
  3. შეზღუდეთ IP- ით და პორტით

ასე უფრო სუფთა და უსაფრთხო, ვიდრე შემოთავაზებული ვარიანტი .

ან სხვა ვარიანტები

  1. შემთხვევითია თქვენი საწინააღმდეგო მარიონეტული ქსელის netscaler? შეგიძლიათ გამოიყენოთ როგორც rdp კარიბჭე
  2. გაქვთ თუ არა გამოქვეყნებული Citrix ან ტერმინალის მომსახურების გარემო? თქვენ შეგიძლიათ გამოაქვეყნოთ rdp კავშირი იქ
0
ответ дан 5 December 2019 в 21:14

Теги

Похожие вопросы