Включение WAF в балансировщик нагрузки?
в настоящий момент наши серверы приложений имеют прямой доступ через Интернет, как показано на следующем рисунке.
Имея это в виду, было бы неплохо, если бы сервер выйдет из строя (аппаратный сбой) или перестанет каким-то образом работать.
Чтобы предотвратить это, я хотел бы разделить свой сервер приложений и поставить перед ним балансировщик нагрузки, как показано на следующем рисунке. Здесь отображается отдельный сервер для базы данных, но это не часть вопроса, а примечание, что эта база данных также будет извлечена из APS.
Пока WAF (modsecurity for apache) работает на серверах приложений в настоящий момент, не могли бы вы установить WAF на балансировщик нагрузки в новой конфигурации? Я думал об использовании NGINX в качестве прокси / балансировщика нагрузки. Или оставить на APS? Я также не уверен, есть ли какое-либо влияние, если завершение TLS выполняется APS или балансировщиком нагрузки.
Больше всего нас беспокоит безопасность, доступность и, конечно же, производительность.
Спасибо :)
Какова версия платформы .Net? При обновлении Exchange 2013 до CU23 необходимо установить .Net Framework 4.8, а затем выполнить обновление до CU23.
Не могли бы вы загрузить файл установки exchange 2013 cu23 в блоге Майкрософт и проверить, продолжается ли эта проблема?
Как ответил выше Вик Вега, вы могли бы следовать инструкциям и снова запустить программу установки exe.
-121--480844-Если вы хотите получить доступ к сайту через www.example.com , вам нужна DNS-запись для www или групповая DNS-запись.
Добавление привязки к IIS необязательно. Если это единственный веб-сайт в IIS, то все запросы будут поступать на этот веб-сайт, независимо от имени, которое пользователь вводит в браузере.
www.example.com , mysite.example.com, blahblahblah.example.com и т. д., и т. д.
-121--481236-Не то, чтобы вы также не хотите усиливать само развертывание сервера, но я бы определенно отделил функции tls undload и транспорта приложений/безопасности протокола от ваших серверов и переместился на прокси. Пусть сервер будет сервером и поставит ваши потребности в безопасности и инфраструктуре перед этим. Вы можете использовать собственный NGINX с открытым исходным кодом или повысить уровень с помощью NGINX App Protect. Подробности решения здесь .
Полное раскрытие: я работаю на F5. Если вы хотите получить больше информации о NGINX App Protect, у нас есть много статей в сообществе DevCentral для вашего исследования.
Я согласен, разделение было бы гораздо лучшим подходом. Это позволяет блокировать трафик до того, как он попадет на серверы. Это также разделяет функциональные возможности и позволяет обновлять WAF, не затрагивая ваши серверы. Метрики по блокам и т. д. также могут быть сопоставлены в одном месте, что дает более четкое представление.