Prós e contras de um servidor proxy / gateway

2

Estou trabalhando com um aplicativo da web que usa duas máquinas, um servidor BSD e um servidor Windows 2000. Quando alguém acessa nosso site, eles são conectados ao servidor BSD que, usando o módulo proxy do Apache, retransmite os pedidos & respostas entre eles e o servidor web no servidor Windows. A ideia (projetada e implantada há cerca de 9 anos) era que era mais seguro ter o servidor BSD como o que estava fora das pessoas conectadas do que o servidor Windows executando o aplicativo da web. O servidor BSD é uma instalação básica com todos os serviços desnecessários & aplicativos removidos.

Estes servidores estão prestes a ser substituídos e a grande questão é, é um servidor barebones reduzido necessário para a segurança nesta configuração. De minha pesquisa on-line, não vejo mais ninguém executando uma configuração como essa (não vejo ninguém questionando, pelo menos.) Se eles tiverem um servidor entre o usuário e o (s) servidor (es) de aplicativos da Web, ele estará em cache, compactação e / ou balanceamento de carga. Há algo que eu estou negligenciando ao permitir que as pessoas se conectem diretamente da Internet ** a um servidor do Windows 2008 R2 que está executando o aplicativo da Web?

** há um bom firewall de hardware entre a Internet com apenas portas mínimas abertas

Obrigado.

    
por Curtis 19.03.2010 / 21:31

3 respostas

4

Se você pegar o advento de mfinni e colocar seu servidor em um DMZ (você certamente deveria, e com um firewall de hardware decente, duvido que seja difícil), a resposta ainda é "talvez".

Concordo que há menos motivos de segurança para fazer isso nos dias de hoje, o IIS é muito melhor do que era. Ainda assim, isso causará uma falha nos trabalhos de alguns ataques e, sem dúvida, você obterá algum pequeno benefício de segurança.

OTOH, avalie que agora você tem 3 itens no caminho crítico, não 2 (Firewall, RProxy e webserver) - se algum deles ficar pop, você perderá o serviço.

Você precisa avaliar um pequeno ganho de segurança em relação a um risco de gerenciamento e confiabilidade. Se você tivesse o > 1 servidor da web, ou estivesse fazendo uma pesquisa sobre o proxy, eu ficaria mais inclinado a mantê-lo. Como está, parece que o cara no comando (isso é você) não está muito interessado, e talvez seja mais um cara do Windows (eu estou supondo aqui, não tome isso como uma chama ou qualquer coisa) e prefiro não tem que administrar outro servidor diferente. Gastar mais tempo cuidando do servidor da web seria um investimento melhor do que mexer com o proxy?

De qualquer forma. Tenho que ser sua ligação - mas não acho que isso lhe ofereça o suficiente para ser mais essencial.

    
por 19.03.2010 / 22:52
0

Meh. Os padrões de segurança e gerenciamento da minha empresa exigem um proxy reverso do Apache na frente de qualquer servidor da Web, seja o IIS ou o WebSphere ou o que você quiser.

Embora, para sua situação, você também não diga que o servidor Windows está em uma DMZ. Se não for, faça isso imediatamente, independentemente de você manter ou não seu servidor proxy.

    
por 19.03.2010 / 22:12
-1

Resposta simples: Não

Resposta mais longa: Não - os dias de necessidade de ocultar o IIS atrás de um proxy * nix agora estão firmemente na idade das trevas, supondo que seu aplicativo da Web seja relativamente seguro e você firewall da máquina Windows bem, não há nenhum benefício em colocar um proxy na frente da máquina Windows do ponto de vista de segurança. O único benefício seria do ponto de vista do desempenho / balanceamento de carga e não parece que se aplica aqui.

    
por 19.03.2010 / 21:43