服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 为什么要将负载均衡器放在防火墙的后面?
Intereting Posts
“无法通过套接字连接到本地MySQL服务器”并删除套接字 惠普刀片系统不会出来 Amazon RDS实例的性能不佳 Exchange 2010 HELO标题更改 Plesk:其他应用程序的免费端口80 Debian crontab不运行脚本 有没有办法实现networking容错打印服务器? 从命令行以用户身份启动/停止Windows服务 您的连接不是私有的(NET :: ERR_CERT_AUTHORITY_INVALID) Cat5e或Cat6a为媒体和后期制作公司 在自定义映像部署之后,在Azure中解决无尽的configuration问题 在Linux下,如何将文件从一个文件系统复制到另一个(两个gpfs)并保留硬链接? 使用木偶将现有用户添加到组中 Dovecot / Postfix / SSH / PAM的2因素authentication Nginx位置指令和php脚本

为什么要将负载均衡器放在防火墙的后面?

我正在考虑购买F5负载平衡设备,它将代理入站HTTP连接到内部networking上的五个Web服务器之一。 我的假设是,F5的外部接口将面向互联网,内部接口将面对Web服务器所在的内部networking。 然而,我在网上看到的几个插图将F5设备放在防火墙后面。这种安排会导致额外的stream量通过防火墙,并使防火墙成为单一故障点,是正确的吗?

这个configuration的基本原理是什么?

我认为古典: 

Firewall <-> Load Balancer <-> Web Servers <-> ...

大多数是基于昂贵的基于硬件的防火墙的时代。 我已经实现了这样的scheme,所以他们工作,但使整个设置更复杂。 为了消除单点故障(例如允许升级防火墙),您需要在2个防火墙和2个负载平衡器(使用2层网格或适当的3层路由)之间进行网格通信。

在公共云上,往往会实现类似于: 

 Load Balancer <-> [ (firewall + web) ] <-layer 2 domain or ipsec/ssl-> [ (firewall + app/db) ]

这是坦率的足够好。

  1. 如果您使用负载平衡器来终止SSL连接,则位于负载平衡器前的防火墙只会执行非常基本的第3层过滤,因为它看到encryption的通信。
  2. 您的F5已经配备了防火墙,与您所使用的过滤规则一样好。
  3. 纵深防御的论点是IMHO在层3方面的弱点。针对Web应用程序的攻击媒介是SQL注入,而不是触发防火墙来获取root权限。
  4. 蹩脚的Web服务器的核心通常是足够处理从TCP和过滤。

很高兴看到这个话题的一些讨论。

我原以为这是不言而喻的:你把任何东西放在防火墙后面的原因是一样的。

理由是让防火墙保护Web服务器。 在这种情况下,负载平衡器的目的是确保Web服务器不是单点故障,并平衡它们之间的负载。 如果只有一个防火墙,则将其视为单点故障。

我不会说有任何“额外”的stream量穿过防火墙。

如果入站有5,000个请求,并且每个服务器发送了1000个请求,那么防火墙没有更多的请求比发送5000个请求这么一个服务器,或者如果将防火墙放在F5之后5000个请求仍然需要通过该防火墙,否则他们根本不在“私人”networking)。

但是,防火墙确实是一个单一的故障点,但是如果你正在花费预算来购买一个F5,那么F5也会成为一个单一的故障点。

如果您要configuration完全冗余系统,则在主动/被动HA群集中需要两个F5,然后在主动/被动HA群集中使用两个防火墙。

它们可能在F5的文档中用单个graphics来描述,但这是因为它只是显示了防火墙的逻辑外观(有一个设备提供所有请求),而不是物理设置(两个设备,其中一个在HA待机状态) 。

将负载均衡器放在边缘防火墙之外的另一个原因是因为您的负载平衡器可能没有默认的web强化(也许它的pipe理界面有漏洞,也许是默认的许可证,谁知道呢)。 把它放在防火墙的后面,只需要为你的公用端口挖洞,就可以使运行在易受攻击的负载均衡器暴露在互联网上的风险大大降低。

通常,您需要在DMZ(非军事区)中使用负载均衡器和Web服务器。 从内部和外部networking访问DMZ应由防火墙控制。 如果负载均衡器位于防火墙之前,则无法平衡这两个负载。

和其他人一样,防火墙和负载均衡器都是单点故障,除非你有冗余设备。

坦率地说,它安抚安全人员,只需要有一个单独的防火墙。 bigip asm模块可以替代防火墙。 将其与服务器上的防火墙和安全策略以及后面的防火墙结合在一起,并且您拥有一个安全的系统。

不信任的,inet只接触防火墙,然后只通过特定的stream量。

其他一切都在防火墙之后。

这是如何完成的。 防火墙被认为是“硬”,安全暴露给不信任。 其他一切都被认为是需要庇护的

通常将安全实现视为一组单独的安全层,通常称为分层安全模型。

用最简单的术语来说,必须遍历的每一层安全性都有助于防止渗透 – 每一层都会增加攻击者未经授权访问的总体难度。

对我来说,出于各种原因,在互联网边缘上具有检测,预防和过滤能力似乎是相当明智的 – 在分层安全的情况下,我认为将防火墙作为您的第一线防御 – 这样的设备还能够抵御针对ADC或其他面向互联网的networking设备的攻击。

举一个例子来说明我的观点; 考虑一下外部(边缘)防火墙如何在stream量允许进入您的networking之前validation协议一致性,也就是在它可以传递给可能存在漏洞的设备之前。 防火墙还可以查找符合技术规范的stream量变化和模式,但会偏离典型使用或常见实践 – 这会增加发现隐藏数据stream的机会,企图绕过检查站或者甚至为了请求走私而设置新设施。

Web / SaaSdevise的一个典型的,虽然稍微简化的devise可能如下所示:

  1. 公共互联网
  2. SPI防火墙(思科ASA,Fortigate)
  3. 负载平衡器/ ADC / WAF ** SSL / TLS术语。 点**(如Big-IP,Baracuda)
  4. 下一代防火墙(如PaloAlto,CheckPoint)
  5. Web应用程序服务
  6. 基于端口的防火墙(如低端的思科ASA甚至iptables)
  7. 数据库和存储服务

冗余可以根据需要添加到每个单独的组件。

就个人而言,即使负载平衡器部署用于全局高可用性或站点故障转移(每个站点只需要一个Big-IP),我也更喜欢防火墙的本地冗余(例如,每个站点每个防火墙2个节点)。

BIG-IP是ICSAauthentication的防火墙。 对于入站到数据中心的用例,将BIG-IP用作防火墙是有意义的。 BIG-IP平台通常比其他商业防火墙的规模更大,并支持SSL卸载进行内容检查。 正如Jim B所说,您还可以添加BIG-IP ASM Web应用程序防火墙来保护Web应用程序。

高性能应用交付防火墙

http://www.f5.com/pdf/solution-profiles/high-performance-app-delivery-firewall-sp.pdf

亚伦