¿Proxy inverso o directo?

3

imagina que tengo una arquitectura como se muestra.

Para acceder al servidor web interno, ¿debo usar un proxy inverso como el que se muestra y redirigir el tráfico a mi servidor web? ¿Es esta una forma más segura en lugar de solo abrir reglas en el Firewall A y B y dejar que el tráfico pase? ¿Y por qué es más seguro?

gracias

    
pregunta Pang Ser Lark 04.11.2015 - 09:29
fuente

2 respuestas

3

Tu arquitectura se ve bien. El uso del proxy inverso también depende de los siguientes factores:

  1. no de servidores web, usted planea alojar
  2. no de las direcciones IP públicas que tiene
  3. ¿Desea una capa de abstracción entre su LAN y la Web?

En términos de seguridad adicional, creo que una aplicación vulnerable que se ejecute en cualquier lugar seguirá siendo vulnerable, a menos que esté usando WAF (firewall de Capa 7) en el medio. Los cortafuegos de aplicaciones web (WAF) pueden proporcionarle un respiro hasta que haya parcheado la aplicación real. El proxy inverso no ayudará mucho en este sentido.

Puedes ir a través de los enlaces de abajo para encontrar más entradas. Encontré que ya se han hecho muchas preguntas sobre esto.

  1. ¿Qué tan efectivos son los proxies inversos? ¿Como medida de seguridad de la aplicación web?
  2. enlace
  3. Seguridad al exponer una aplicación web interna a Internet usando un proxy inverso en la DMZ
respondido por el Krishna Pandey 04.11.2015 - 10:19
fuente
3

El uso de un proxy inverso puede frustrar algunas de los ataques dirigidos al servidor web.

  • Los proxies inversos suelen ser más simples que los servidores web, por lo que son (¡en teoría!) menos propensos a tener vulnerabilidades.
  • Si se explota el proxy, esto aún no le da al atacante acceso a ningún dato en el servidor web u otros sistemas detrás de la DMZ

Tenga en cuenta que esto solo se aplica a las vulnerabilidades de bajo nivel dirigidas directamente al servidor web. Cualquier vulnerabilidad a nivel de aplicación no se verá afectada por esto en absoluto. El proxy también puede reenviar directamente algunas conexiones explotadoras como están, por lo que funcionan incluso a través del proxy.

    
respondido por el Philipp 04.11.2015 - 10:05
fuente

Lea otras preguntas en las etiquetas