目前,我们已经将一些工作外包给一家公司,将我们的网站迁移到CMS系统。 他们要求我们允许Web服务器直接向外部站点发出80端口呼叫 – 允许整个机器不受限制地访问互联网。
多年以来,我们一直没有这个网站来操作我们的网站,我真的不喜欢这种从我们的网关之外的任何机器上获得这种访问的想法。 特别是最近发生的事件,在我们的ISA服务器上发生应用程序冲突导致它浪费了大量的带宽。
我可以理解他们的推理(从其他来源获取dynamic内容等),但我更喜欢他们使用代理服务器进行所有出站访问。
我不合理吗? 在我看来,允许完全访问是不必要的,只是要求麻烦…
我不是安全专家,但我同意你的看法,认为你有两个办法:
答案1更符合公司政策,Answser 2让各方高兴:)
希望这些答案与你的思路一致,也许你会从比我更开明的人那里得到一些很好的答案。
我认为“坚持这一点”是唯一合理的回应。 如果他们可以给你一个网站/地址列表,或者一个真正的理由,那么可以考虑,但只是“给我们不受限制的外部访问”不应该洗。
这不是不合理的,只要确保他们有一个很好的理由,如果它让你不舒服。 我参与过的每个Web应用程序都需要对合作伙伴API进行某种传出访问,下载数据馈送或向客户发送通知。 在拥有许多此类应用程序的大型站点以及数百个(如果不是数千个)合作伙伴的情况下,期望每个端点都被特别授予访问权限是非常不合理的任务。
实际上,如果您的生产服务器无法获取软件更新,也会变成一件痛苦的事情。
我们的论点总是是否NAT或不NAT,无法访问或代理的问题从来没有出现过。 重新代理:这只是另一个可能的失败点,你可以通过把一个带宽节省多less带宽?
严重的是,你害怕什么?