反向代理实现的文档化最佳实践

Question

我正在寻找一些实现反向代理的最佳实践文档。

我们需要允许内部数据库/ web服务器进入外部世界，并试图确定实现这一目标的最有效和最安全的方法。

我们已经有了运行mod代理Apache配置的Red 2服务器，但是我们想看看今天的最佳实践(因为这个服务器是古老的)。

我在googled上搜索了相当多的内容，但到目前为止，我还没有找到任何与常见的安全最佳实践相关的非常普遍的建议。

我非常感谢你能提供的任何东西。

谢谢!埃里克

Answer 1

NIST SP 800-44保障公共Web服务器安全的指南是一个很好的起点，尽管它并不是一颗神奇的子弹(现在它已经有几年的历史了)。

根据我的经验，一些最重要的要求和缓解措施(不按特定顺序排列)是：

• 确保代理、后端web (和DB)服务器不能建立直接出站(internet)连接(包括DNS和SMTP，特别是HTTP)。这意味着(转发)必要的出站访问的代理/中继(如果需要)。
• 确保您的日志记录是有用的(在上面的第9.1节)，并且连贯一致。您可能有来自多个设备的日志(路由器、防火墙/IPS/WAF、代理、web/app服务器、DB服务器)。如果您不能快速、可靠和确定地将每个设备的记录连接在一起，那么您就错了。这意味着NTP，并记录任何或全部: PIDs、TID、会话ID、端口、标头、cookie、用户名、IP地址等等(并且可能意味着一些日志包含机密信息)。
• 了解协议，并做出深思熟虑的、明智的决定:包括密码/TLS版本选择、HTTP头大小、URL长度、cookie。应该对反向代理实施限制。如果要迁移到分层架构，请确保开发团队在循环中，以便尽早发现问题。
• 从外部运行漏洞扫描，或者让人为您执行此操作。确保您知道您的足迹，报告突出了三角洲，以及理论TLS SNAFU du-jour。
• 了解失败的模式。当您有负载或稳定性问题时，向用户发送默认的"HTTP 500 -轮子掉了“是草率的
• 监视、度量和图表:在调查异常和容量规划时，拥有正常和历史数据是非常宝贵的。
• 调优:从TCP时间-等待聆听积压到SYN，再次您需要作出深思熟虑的，明智的决定。
• 遵循基本的操作系统强化准则，考虑使用chroot/jails、基于主机的IDS和其他可用的度量。