Каковы Ваши мысли о том, использовать ли хост оплота
На этой странице существует некоторая действительно большая информация. Я не чувствую себя стоящим, чтобы даже вносить из-за ума подхода 80-х TRS. Что касается меня, хотя то, что Вы служите огромным динамично сгенерированным файлам, но волнуетесь по поводу дискового пространства. Я хочу удостовериться, что Вы мудры со своим самым драгоценным ресурсом, RAM.
Во-первых, необходимо удостовериться, что Вы делаете вещи таким способом, которым Apache может использовать sendfile. Я был бы также обеспокоен генерацией файла с любым основанным на модуле прикладным уровнем, mod_php, mod_python, или обратный прокси Полукровке/Ruby on Rails. Вы действительно должны быть осторожными этого. Я не знаю много о Вашей установке, но инстинкт говорит мне, что Вы должны:
- Используйте рабочего MPM вместо Предварительного ветвления
- Если использование Python видит: WSGI При использовании PHP видят: FastCGI, Если направляющие видят: Пассажир
- Не позволяйте пользователям запросить, какие триггеры поколение файла - делает доставку. Используйте подобный AJAX шаблон для:
- Поколение очереди файла
- Проверяйте периодически на завершение
- Журнал, который начала загрузка (хорошо, это собирается),
- Начните загружать
- Однако не полагайтесь на клиент, чтобы указать Вам, что необходимо удалить файл. Я периодически использовал бы lsof на "начатый журнал" для удаления.
Конечно, в моей промышленности мы всегда должны волноваться о способности масштабироваться. Вы не можете заботиться.
Тройной слой брандмауэра/IPS не имеет слишком большого смысла мне, если различные устройства не имеют непересекающиеся наборы функциональности. Если нет никакой возможности для кода или злонамеренного activty "между" двумя из устройств, и они действительно просто включаются спина к спине, он походит на гигантскую пустую трату денег.
Более традиционная архитектура была бы чем-то как:
Интернет-> Firewall/IDS-> уровень веб-сервера-> Уровень Сервера приложений-> (дополнительный брандмауэр/IPS)-> база данных
Тот дополнительный брандмауэр между уровнем сервера приложений и базой данных не действительно настолько полезен, но требуется PCI и потенциально другими инструкциями. Простые средства управления доступом или программный брандмауэр на сервере базы данных имеют больше смысла мне для большинства сред, а не выделенного отдельного брандмауэра.
Более сложная, но потенциально полезная установка должна была бы использовать веб-/прокси "уровень" хоста оплота:
Интернет-> Firewall/IDS-> веб-/прокси сервер-> Firewall/IDS-> серверы приложений-> (дополнительный брандмауэр/IPS)-> база данных.
По-моему, вышеупомянутая установка только имеет смысл, если брандмауэр/IDS между Вашим хостом оплота может сделать больше, чем простая пакетная фильтрация с сохранением информации. Если функциональность IDS, в которой Брандмауэр/IDS может выглядеть в пакетах HTTP и только позволить ряд определенных поведений между веб-/прокси уровнем и уровнем сервера приложений, то это могло бы стоить.
Обратите внимание, что любой из уровней брандмауэра/IDS может быть быть реализованным как программный брандмауэр, работающий на узле назначения. Это упрощает сети значительно и масштабируется лучше, чем аппаратные решения по обеспечению безопасности. Вы действительно бросаете централизованное "узкое горло" для контроля всего трафика, но это часто - требование для увеличения масштаба. Я сомневаюсь относительно Facebook, или Google передает весь их трафик через любой уровень брандмауэра - функциональность безопасности просто должна быть распределена в том масштабе.
В средних/больше сетях довольно распространено видеть сеть периметра, где серверы были укреплены (новый термин для хоста оплота). В небольших сетях больше не очень распространено (если это когда-нибудь было). Идея присвоить единственную задачу серверу и укрепить его против всего остального возвращает популярность в сетях среднего размера, поскольку виртуализация позволяет Вам легко устанавливать специализированный VMs.
Я нахожу, что эти установки наиболее распространены:
Небольшие сети:
Интернет---> Брандмауэр/Маршрутизатор---> Внутренняя сеть (Серверы и Клиенты включали),
Средние сети
Интернет---> Брандмауэр Периметра---> Сеть Периметра (Интернет доступные серверы)---> Внутренний Брандмауэр---> Внутренняя сеть (Сервер и Клиенты включали),
Сети высокой безопасности:
Интернет---> Брандмауэр (брандмауэры) Периметра---> Сеть Периметра (Интернет доступные серверы)
Сеть периметра---> Брандмауэр Сервера---> Сеть сервера
Сеть периметра---> Клиентский Брандмауэр---> Клиентская сеть
Конечно, каждая сеть немного отличается тут и там; но это - темы, которые я вижу обычно. Типичные брандмауэры включают IDS/IDP наряду с типичной фильтрацией и таким.
Я думаю, что функция хостов оплота отчасти растворена на брандмауэрах сегодня. Если что-то в Вашей сети 'противостоит постоянному нападению', это - вероятно, брандмауэр на интернет-передней стороне.
Кроме того, я согласовываю с Chris S представления того, как организовать безопасность в разного размера сетях.
И если Вы собираетесь иметь 3 брандмауэра, лучше использовать различных поставщиков, потому что, если Вы используете тот же брандмауэр и кто-то использует уязвимость в упомянутой hardware/fw системе, Вы теряете все свои брандмауэры.
Я не видел хосты оплота в общем использовании за несколько лет. Я не поддержал на высоком уровне на всем обосновании, но Вы были бы в хорошей компании, если бы Вы решили не сделать это. Однако причины, люди не делают этого больше, могли просто быть экономическими и ничто вообще, чтобы сделать с реальной или воспринятой безопасностью...