我正在使用两台机器,一台BSD服务器和一台Windows 2000服务器的networking应用程序。 当有人访问我们的网站时,他们连接到BSD服务器,该服务器使用Apache的代理模块将它们与Windows服务器上的Web服务器之间的请求和响应中继。 这个想法(devise和部署大约9年前)是,将BSD服务器与运行Web应用程序的Windows服务器连接到外部人员是比较安全的。 BSD服务器是一个裸机安装,删除所有不必要的服务和应用程序。
这些服务器即将被replace,而最大的问题是,在这种设置中安全性需要一个简化的准系统服务器。 从我在网上的研究中,我没有看到其他人正在运行这样的设置(至less我没有看到任何人提出质疑)。如果他们在用户和Web应用程序服务器之间有一个服务器,压缩和/或负载平衡。 有什么我可以通过让人们直接从互联网**连接到运行Web应用程序的Windows 2008 R2服务器来忽略?
**互联网之间有一个很好的硬件防火墙,只有最less的端口打开
谢谢。
如果你采取mfinni的build议,并把你的服务器放在一个DMZ(你当然应该,而且你有一个体面的硬件防火墙,我怀疑这将是艰难的),答案仍然是“也许”。
我同意现在这样做的安全性较低 ,IIS远远好于以往。 尽pipe如此,它还是会在一些攻击的作品中抛出一把扳手,毫无疑问你会获得一些小的安全利益。
OTOH,衡量你现在有3项关键path,而不是2(防火墙,RProxy和networking服务器) – 如果有人stream行,你会失去服务。
您需要权衡一个小的安全增益,而不是pipe理和可靠性风险。 如果你有1个以上的networking服务器,或者在代理服务器上进行高速caching,我会更倾向于保留它。 现在看来,这听起来像负责人(那你)是不是非常热衷,也许是一个窗户的家伙(我猜在这里,不要把它当成火焰或任何东西),而宁愿不必pipe理另一个不同的服务器。 花更多的时间照顾networking服务器是一个更好的投资,而不是修改代理?
无论如何。 得到你的电话 – 但我不认为它提供了足够的可以归类为必要的。
咩。 我公司的安全和pipe理标准确实要求在任何Web服务器前面都有一个Apache反向代理,无论是IIS还是WebSphere,或者是你所拥有的。
尽pipe对于你的情况,你也不要说Windows服务器在DMZ中。 如果不是,那么不pipe你是否保留你的代理服务器,立即执行该操作。
简单的答案:不
较长的回答:否 – 需要将IIS隐藏在* nix代理之后的日子现在已经处于黑暗时代,假设您的web应用程序相对安全,并且防火墙能够很好地防护Windows机器,那么将代理放在前面并没有任何好处从安全的angular度来看Windows机器。 唯一的好处是从性能/负载平衡的angular度来看,这听起来不像这里适用的。