第三方安全专家建议我们在Web服务器(全部托管在DMZ中)之前运行反向代理,以作为最佳实践安全措施。
我知道这是一种典型的推荐体系结构,因为它在Web应用程序之前提供了另一种安全级别,可以防止黑客入侵。
但是,由于反向代理很乐意在用户和内部Web服务器之间来回穿梭HTTP,因此它无法提供任何防止Web服务器本身被黑客攻击的措施。换句话说,如果您的Web应用存在安全漏洞,则代理将无法提供任何有意义的安全性。
鉴于攻击Web应用程序的风险远比攻击代理的风险高得多,在中间添加一个额外的框真的能带来很多收益吗?我们不会使用反向代理的任何缓存功能-只是一个笨拙的工具来回传送数据包。
我还有其他想念的地方吗?反向代理HTTP数据包检查的性能是否如此出色,可以检测到有意义的攻击而没有主要的性能瓶颈,或者这仅仅是Security Theater的另一个示例?
反向代理是MS ISA的缺点。