我在看梭子鱼Web应用程序防火墙,坐在一个可乐设施的LAMP服务器前面。
从我在文档中收集的内容中,可以将其设置为桥接模式或路由模式,其中路由模式被引用为“首选,因为它更安全”。
假设你在Barracuda前面有一个防火墙,我脑袋里的devise如下:
LAMP服务器—-梭子鱼——防火墙/路由器
灯泡:192.168.1.2/30 GW:192.168.1.1/30
梭子鱼:局域网:192.168.1.1/30广域网:10.0.0.2/30毛重:10.0.0.1/30
防火墙:WAN:200.200.200.200/28 LAN:10.0.0.1/30
所以基本上Barracuda是LAMP盒子里面的DMZ防火墙,它做NAT(内部/外部),路由到外部防火墙,而外部防火墙又是NAT(内部/外部)。 当用这种方式寻址/路由时,双NAT似乎有点不理想,但是我已经看到很多描述这种[服务器< – 反向代理< – 防火墙]configuration的图表(没有IP介意你)。
它是否正确? 怎么样的“正常”反向代理像nginx或Apache + mod_proxy? 这通常是桥接或路由? 不知道什么是完成这个最好的方法。
“正常”的反向代理也被路由,这通常被认为是大多数应用程序的最佳configuration。
有一些“桥接”设置的原因,但是其中大部分都是应用程序特定的。 桥接设置不会以任何方式修改请求/响应(或不应该),而代理服务器充当中间人,这有时会导致问题。
我自己没有梭子鱼应用防火墙,但是我不能假设它与Apache + Mod_Proxy + Mod_Security服务器有很大的不同。