Реверс проксирует перед веб-сервером, улучшают безопасность?
это - вопрос предпочтения некоторым людям, и вопрос fervorous религиозного обсуждения другим (как kde лучше, чем гном, энергия по сравнению с emacs, и т.д.).
независимо от Вашего выбора, следующий код из стандарта drupal .htaccess показывает нам, как перенаправить пользователей к www:
RewriteEngine on
RewriteCond %{HTTP_HOST} ^example\.com$ [NC]
RewriteRule ^(.*)$ http://www.example.com/$1 [L,R=301]
и это - код, необходимо вызвать non-www URL:
RewriteEngine on
RewriteCond %{HTTP_HOST} ^www\.example\.com$ [NC]
RewriteRule ^(.*)$ http://example.com/$1 [L,R=301]
Apache имеет mod_security, который обнаружит нападения коллективной безопасности. Существует также mod_cband, который может ограничить используемую пропускную способность. Я не был бы удивлен, имел ли ISA что-то подобное. Без чего-то на самом деле осуществление проверок Трафика HTTP, поскольку это проходит прокси, это - все немного бессмысленное с точки зрения безопасности.
Какой обратный прокси даст Вам, выравнивание нагрузки, обработка отказа, кэширование, SSL и разгрузка filering, оставляя Ваши веб-серверы, чтобы сделать то, к чему они способны: обслуживание HTML.
Сервер ISA может искать и предотвратить различное использование HTTP и препятствовать тому, чтобы они добрались до веб-сервера. В то время как большинство современных серверов HTTP больше не является годным для использования этим, это обладает дополнительным преимуществом не отправки этого трафика к веб-серверу.
Кроме того, ISA может помочь сделать вещи, такие как добавление ускорения SSL и предварительной авторизации пользователей к различным URL. Это может даже действовать как подсистема балансировки нагрузки для Вас так, можно легко добавить больше веб-серверов, не используя подсистему балансировки нагрузки отдельного оборудования.
Обязательно возьмите pro's, который этот человек дает на ISA, и взвесьте его против того, какого количества добавленных издержек он будет стоить, чтобы управлять и выполнить ISA по сравнению с преимуществами.
Реверс проксирует перед веб-сервером, улучшают безопасность?
Обратный прокси дает Вам пару вещей, которые могут сделать Ваш сервер более безопасным.
- Место, чтобы контролировать и зарегистрировать, что продолжается отдельный от веб-сервера
- Место для фильтрации или брандмауэр отделяется от веб-сервера, если Вы знаете, что некоторая область Вашей системы уязвима. В зависимости от прокси Вы можете фильтровать на прикладном уровне.
- Другое место для реализации ACLs и правил, если Вы не можете быть достаточно выразительными по некоторым причинам на Вашем веб-сервере.
- Стопка отдельной сети, которая не будет уязвима теми же способами как Ваш веб-сервер. Это особенно верно, если Ваш прокси от другого поставщика.
- Используя установку Apache, поскольку прокси перед сервером Apache, вероятно, не так полезен как что-то как Сквид перед Apache.
Обратный прокси без фильтрации автоматически не защищает Вас от всего, но если система, которую необходимо защитить, является высоким значением, затем добавляющим, что обратный прокси может стоить поддержки затрат и затрат на производительность.
Это могло защитить Ваш сервер приложений от нападений на основе плохих Запросов HTTP... Особенно, если возможно на обратном прокси (а не на сервере приложений) настроить точно, на что похож хороший запрос, и не позволяют плохие запросы через. Если необходимо сказать это, на что похожи плохие запросы, это почти наверняка будет бесполезно. Другими словами, это могло бы защитить от атак переполнения буфера, но не от Внедрения SQL.
Главным образом это походит на театр безопасности. Вы наняли консультант по безопасности, и они должны сказать Вам что-то, чтобы сделать для улучшения безопасности. Довольно маловероятно, что взломщик будет когда-либо врываться в обратный прокси и если они просто обходят его, они могут всегда обвинять Вас; таким образом, это - безопасная рекомендация.
Pada dasarnya, reverse proxy akan menyembunyikan infrastruktur Anda dari dunia. Jadi ini terutama kasus keamanan oleh ketidakjelasan, kecuali server web Anda benar-benar tidak dapat dikelola dan tidak aman.
Ini juga dapat melindungi server web Anda dari beberapa jenis DOS (penolakan layanan terdistribusi), terutama jika situs web Anda "berat" , bertindak kemudian sebagai lapisan caching.
Ia juga memiliki beberapa alasan: ia akan menyembunyikan dari aplikasi Anda IP asli dari pelanggan. Ini akan membuat Anda mengkonsumsi lebih banyak daya server, dan menambahkan lapisan hal-hal yang dapat merusak. Ingatlah bahwa reverse proxy Anda harus menangani lebih banyak koneksi (biasanya dua kali lebih banyak: koneksi ke pelanggan dan koneksi ke server web Anda).
Pada akhirnya, reverse proxy tidak akan membiarkan Anda memiliki keamanan situs web.
Satu manfaat yang menurut saya tidak dibicarakan orang lain adalah kenyataan bahwa Anda tidak perlu membuka IP / port eksternal melalui firewall eksternal. Sistem proxy balik yang baik akan memulai komunikasi dari dalam jaringan Anda ke server di DMZ yang melindungi jaringan dari serangan langsung. Ini, bagaimanapun & seperti yang dikatakan orang lain, tidak akan melindungi Anda dari aplikasi yang ditulis dengan buruk.