我是数据中心主机的新手。 我将在一个数据中心(托pipe)托pipe我的应用程序。 我只能把我需要的海湾卖给我。 我想使用SSL反向代理:
SSL反向代理+ LoadBalancer <—-> WebServer1 <—-> WebServer2
如果我让SSL Reverse代理执行所有的SSL作业,那么Web服务器和负载平衡器之间的所有内容都将无法保证。
我的问题是:因为我只会从托pipe服务中购买3个机架,那么如何确保networking服务器和负载平衡器之间的链接可以从内部的某个人获得?
谢谢 !
你正在同步你的设备或购买pipe理托pipe? 你提到colo,但是如果你在做SSL卸载之后担心未encryption的数据,那么这听起来像是你在做托pipe托pipe。
在安全性至关重要的情况下(这听起来像是你的情况),你会坚持你的设备的物理安全 – 基本上是锁和钥匙。 通过这样做,并确保您的提供者/数据中心的唯一连接是您的networking提供,您可以确保在您的环境中进行连接之后的任何事情都是完全安全的。
在另一种情况下,如果您正在购买专用服务器,防火墙,l / b,networking等托pipe服务,则不能100%确定某人不能够通过以下方式进行中间人攻击:物理或虚拟路由您的非SSL数据通过一些额外的系统。
如果您担心您的信用证和networking服务器之间的安全问题,我不会在剥离SSL然后重新添加一个IPSEC VPN或类似的网站上看到太多的意义。 你可能会更好,让SSL完全通过networking服务器不受阻碍(除非你想使用反向代理function)。
您可以在您的局域网上设置IPSec来保护负载均衡器和您的Web服务器之间的networking。
通常情况下,安全性将会有所折衷,这会增加复杂性,并且可能会使networking问题的故障排除更加困难。 所以你需要决定是否值得。
如果您将Apache Httpd与mod_proxy用作反向代理 ,则还可以使用HTTPS连接到Httpd前端和后端Web服务器。
在这种情况下,需要将Httpdconfiguration为SSL客户端(因此您需要告诉它要信任哪些CA证书)。 正如在mod_proxy文档的介绍中所述,这可以使用SSLProxy*指令来完成。
特别是,您应该设置SSLProxyCACertificateFile (或...Path )和SSLProxyCheckPeerCN on 。
我还没有尝试,但它看起来像SSLProxyMachineCertificateFile用于configuration客户端证书(反向代理是客户端)。 validation它所使用的后端服务器的反向代理是有意义的。
(正如另一个答案中所build议的,VPN解决scheme可能更容易configuration。)