Это реально простой. Небезопасное программное обеспечение, выставленное Интернету, просто ожидает, чтобы быть ударенным, неважно, как Вы пытаетесь скрыть его. Высокие порты являются "самыми безопасными", но Вам будет нужен достойный реактивный брандмауэр для сокрытия позади для сейфа. Реактивным я имею в виду тот, который отбросит все пакеты из данного источника, если кто-либо из диапазона предпринятых нападений будет обнаружен. Это все еще не означает, что Ваша идея делает любой вид смысла, но это сделает его намного тяжелее для кого-то для определения местоположения небезопасного порта посредством сканирования портов...., если, конечно, они не поразят правильный порт в первые несколько попыток.
Я думаю, что Windows Network Load Balancing (NLB) будет работать на Вас - он использует многоадресную передачу, чтобы позволить нескольким серверам быть полученными доступ тем же IP-адресом. Серверы решают между собой, какой обработает запрос. Это может быть настроено для палки (привязка сессии). Знайте однако, что это только предлагает дублирование с точки зрения того, возрос ли сервер или вниз - это не может решить, какой сервер в кластере является объектом меньшего количества загрузки.
Большая часть документации там обсудит IIS и NLB, но это работает на RDP и другие приложения. Я имел некоторые проблемы с помощью этого по переключателям Dell PowerConnect в высоком сценарии загрузки и был бы склонен пойти для более тяжелого решения для выравнивания нагрузки, но я думаю в целях, которые это - лучшее место для запуска. Это свободно с Windows Server.
Как клиенты "находят" средний уровень? Действительно ли круговой DNS является опцией для Вас?