我需要通过互联网暴露一个不可靠的内部networking应用程序,无法修改,使内在更安全。 这个问题最常见的解决scheme是通过VPN访问networking应用程序。 不幸的是,在我的情况下这是不可能的,所以我正在争取另一个解决scheme。
在某些时候,我遇到过使用防火墙的问题,可以在用户通过Web表单进行身份validation之后dynamic地打开端口。 表单位于防火墙设备提供的网站上,在幕后,防火墙正在使用通过表单提供的凭据对Active Directory进行身份validation。 validation通过后,防火墙在有限的时间内打开了一些源于Web表单连接的IP端口。
我想在我的情况下使用这样的事情,因为它会为我的Web应用程序提供足够的安全性。 不幸的是我不知道这个技术。 堆栈来寻找或这种防火墙authentication的老实姓名。
有人能告诉我需要看哪些技术?
谢谢,波格丹
如果您使用Linux作为防火墙,请查看iptables ,这是防火墙的实施方式。 Shorewall文档将向您指出[Dynamic Zones][1]的方向。
当fail2ban在日志文件中看到login成功消息时,可能会添加相应的条目。
在我的情况下,我使用每个服务的authentication:
在你的情况下,具有authentication的Web代理应该提供必要的访问。 可以将Apacheconfiguration为相对容易地执行此操作。
你的想法有一个缺陷,这意味着IP唯一标识用户,但他们不。
我认为你要描述的是一个Web应用程序防火墙 ,它将会通过身份validation+反向代理。 它也可能会根据实现过滤一些众所周知的攻击,但是总体而言,您的计划远没有实现。
你不妨考虑在沙箱上隔离你的应用程序。 把一台有知识的机器放在那里是一个不错的主意,因为它会以你没有想到的方式被利用。