第三方安全专家建议我们在 Web 服务器(所有托管在 DMZ 中)前面运行反向代理,作为最佳实践安全措施。
我知道这是一个典型的推荐架构,因为它在 Web 应用程序前面提供了另一个级别的安全性来防止黑客。
然而,由于反向代理在用户和内部网络服务器之间来回传输 HTTP,它不会提供任何措施来防止网络服务器本身被黑客入侵。换句话说,如果您的 Web 应用程序存在安全漏洞,代理将不会提供任何有意义的安全性。
鉴于攻击 Web 应用程序的风险远高于攻击代理的风险,在中间添加一个额外的框是否真的有很多好处?我们不会使用反向代理的任何缓存功能——只是一个来回传送数据包的愚蠢工具。
还有什么我在这里想念的吗?反向代理 HTTP 数据包检测是否变得如此出色,可以检测到有意义的攻击而不会出现重大性能瓶颈,或者这只是安全剧院的另一个例子?
反向代理是 MS ISA fwiw。