Esta pregunta es una discusión continua en el trabajo. Supongamos que Tomcat está sirviendo alguna aplicación web y tiene todas las funciones de administración remota y JMX desactivadas. Si consideras tres escenarios:
¿Cuál consideraría el más seguro y por qué?
Mi voto sería el número 3, con el número 2 como segundo más cercano. Supongo que depende del resto de tu infraestructura. Que yo sepa, AJP no admite el cifrado entre hosts.
El número 3 le permite implementar una N Tiered architecture . Lo ideal sería que el servidor Apache estuviera analizando / filtrando URL para el tráfico malicioso y no enviando ciegamente todas las solicitudes al servidor Tomcat.
Aquí hay un artículo bastante decente (con comentarios): enlace
Incluso con eso dicho, todavía parece haber cierta confusión en cuanto a si Tomcat es un servidor web, un servidor de aplicaciones o ambos. Hay respuestas en conflicto para esta pregunta .
Si fuera yo, todavía elegiría el número 3 en base a lo anterior.
Lea otras preguntas en las etiquetas webserver