我有一个使用HAProxy的群集中的3个Apache服务器。 目前,我允许在3台服务器之间的后端IP上的所有stream量 – 我想只允许在HTTP端口(和memcached端口)上的内部数据包 – 这是顶部? 安全性好处是否超出了性能影响(是否有一个?)。 据我所知,加强防火墙之间的私人防火墙只会有利于从前端侵入其中一台服务器,从而阻碍攻击者在内部可以做的事情。
你是做什么?
谢谢
首先回答你的开销问题。 是的,有开销,但防火墙将是如此简单,你不会注意到它。
解答安全问题。 基本上,你真的不能在安全的顶部。 但这仍然是一个可行的情况。 只允许来自您信任的(或需要信任的)来源的stream量提高安全性,但仍然可行。
一个简单的防火墙就足够了,容易维护,几乎没有任何(如果有的话)开销和提高安全性。 只要说一下,只有一台机器才能被穿透。 但是你和你最薄弱的环节一样安全。