第三方安全专家建议我们在 Web 服务器(所有托管在 DMZ 中)前面运行反向代理,作为最佳实践安全措施。
我知道这是一个典型的推荐架构,因为它在 Web 应用程序前面提供了另一个级别的安全性来防止黑客。
然而,由于反向代理在用户和内部网络服务器之间来回传输 HTTP,它不会提供任何措施来防止网络服务器本身被黑客入侵。换句话说,如果您的 Web 应用程序存在安全漏洞,代理将不会提供任何有意义的安全性。
鉴于攻击 Web 应用程序的风险远高于攻击代理的风险,在中间添加一个额外的框是否真的有很多好处?我们不会使用反向代理的任何缓存功能——只是一个来回传送数据包的愚蠢工具。
还有什么我在这里想念的吗?反向代理 HTTP 数据包检测是否变得如此出色,可以检测到有意义的攻击而不会出现重大性能瓶颈,或者这只是安全剧院的另一个例子?
反向代理是 MS ISA fwiw。
Apache 有 mod_security,它将检测常见的安全攻击。还有 mod_cband,可以限制使用的带宽。如果 ISA 有类似的东西,我不会感到惊讶。如果在 HTTP 流量通过代理时没有实际检查它,从安全角度来看,这一切都毫无意义。
反向代理将为您提供负载平衡、故障转移、缓存、SSL 和文件卸载,让您的 Web 服务器去做它们擅长的事情:提供 HTML。
ISA Server 能够查找并阻止各种 HTTP 漏洞,并阻止它们进入 Web 服务器。虽然大多数现代 HTTP 服务器不再可被此利用,但它确实具有不将此流量发送到 Web 服务器的额外好处。
此外,ISA 可以更轻松地完成诸如添加 SSL 加速和用户对各种 URL 的预授权等操作。它甚至可以充当您的负载均衡器,因此您可以轻松添加更多 Web 服务器,而无需使用单独的硬件负载均衡器。
一定要考虑这个人在 ISA 上给出的专家意见,并将其与管理和运行 ISA 所需的额外开销与收益相比较来衡量。
反向代理为您提供了一些可以使您的服务器更安全的东西。
没有过滤的反向代理不会自动保护您免受一切侵害,但如果您需要保护的系统是高价值的,那么添加反向代理可能值得成本支持和性能成本。
它可以保护您的应用程序服务器免受基于错误 HTTP 请求的攻击......特别是如果可以在反向代理(而不是应用程序服务器)上准确配置良好请求的外观并且不允许错误请求通过。如果你必须告诉它糟糕的请求是什么样的,它几乎肯定是没用的。换句话说,它可以防止缓冲区溢出攻击,但不能防止 SQL 注入。
大多数情况下,这听起来像安全剧院。您聘请了一名安全顾问,他们必须告诉您一些措施来提高您的安全性。攻击者不太可能闯入反向代理,如果他们只是绕过它,他们总是会责怪你;所以这是一个安全的建议。
基本上,反向代理会将您的基础设施隐藏起来。所以这主要是一个默默无闻的安全案例,除非你的网络服务器真的难以管理和不安全。
它还可以保护您的网络服务器免受某种 DOS(分布式拒绝服务)的影响,特别是如果您的网站“很重”,则充当缓存层。
它也有一些陷阱:它将向您的应用程序隐藏客户的真实 IP。它会让你消耗更多的服务器功率,并增加一层可以破坏的东西。请记住,您的反向代理将不得不处理更多的连接(通常是两倍:与客户的连接和与您的 Web 服务器的连接)。
归根结底,反向代理无论如何都不会让您拥有一个安全的网站。
我认为其他人没有谈论过的一个好处是您不必通过外部防火墙打开任何外部 IP/端口。一个好的反向代理系统将启动从您的网络内部到 DMZ 中的服务器的通信,保护网络免受直接攻击。然而,正如其他人所说,这不会保护您免受编写不佳的应用程序的影响。
我认为 Zoredache 对反向代理可以提供的好处给出了一个很好的答案。我使用了 Pound,它是一个反向代理、负载均衡器和 HTTPS 前端。
http://www.apsis.ch/pound/