没有前端服务器的应用程序

Question

我们正在提供一个服务器，它将从没有官方供应商前端服务器的供应商的应用程序中暴露到Internet上。

虽然这个web应用服务器将从内部sql资源中提取数据，但我担心这台服务器可能会受到破坏。

当我问他们这件事的安全性时，他们说，如果我想要的话，我可以简单地把像NGINX这样的反向代理放在前面。

我们已经有负载平衡器了，我正计划用。简单地将该服务器置于负载平衡器(基本上是反向代理)之后是可以接受的，还是应该使用负载平衡器和nginx (即双重反向代理)？

应用服务器是一个web产品，将在端口80和443上提供服务。从技术上讲，ssl将在平衡器上生存。

这也让我想到，我们现代的交换邮件服务器网络邮件也没有官方的微软前端的网页邮件。微软不生产这样的产品。

非军事区的时代是否结束了，有利于其他多层安全产品？

Answer 1

使用DMZ是一种将应用程序与更广泛的网络“隔离”的策略，但并不解决应用程序或其执行环境中的漏洞。

当然，您可以将DMZ中的应用服务器隔离为安全控制的一部分。正如朱利安·奈特(Julian)所说，反向代理可以减少某些攻击。

关于在体系结构中引入“另一个”反向代理(NGINX)，请问“提供了哪些额外的安全或功能功能？”仅仅重复现有的反向代理已经提供的功能，只会影响性能和可维护性，如果您有任何错误配置，可能会带来额外的安全问题。更不用说运行附加服务/服务器的成本了。如果我将NGINX引入到体系结构中，您是否保证我的应用程序是安全的？：)。

我认为查看应用程序本身的安全性是很重要的。它是否经过了独立的安全测试？是否存在已知的漏洞？有许多漏洞，反向代理无法保护您免受.例如注射攻击。

除了在应用程序及其执行环境中实现适当的安全控制之外，网络应用防火墙 (WAF)是一种反向代理，可以防止对web应用程序的某些常见攻击(例如SQL / Command注入)。值得检查的是，您现有的代理是否具有此功能。

当然，首先看一下应用程序的业务上下文和各种成功攻击的影响。这将指导在保护应用程序方面应付出多少努力。

Answer 2

使用NGINX或其他负载平衡器将在一定程度上有助于提高应用程序的安全性。它保护应用服务器安全漏洞，并协助抵抗DDOS攻击。

此外，将SSL卸载到代理层可能有助于总体性能，并再次减轻应用服务器SSL (希望是TLS)实现中的任何漏洞。作为一个具有大量开放开发的通用服务器，与应用服务器相比，web/代理服务器中发现和解决安全问题的速度更快。

最主要的是，像NGINX这样的东西可以从安全性的角度进行配置，并提供一个额外的、受良好支持的外部层。

在网络设计方面，您的前端web服务器将在DMZ中运行，因此通过防火墙将其与后端应用程序和数据库服务器隔离开来。如果您需要额外的安全性，您也可以选择将应用服务器也放置在DMZ中，或者如果您需要额外的安全性，甚至需要有一个内部和外部DMZ，但是您也需要考虑性能问题。

您是否需要额外的基础设施以及负载平衡功能也将取决于我们不知道的因素。比如应用服务器的性能，客户端连接的数量，可用带宽，(虚拟)服务器的可用和性能等等。

至于您的Exchange示例。Exchange是专为使用许多商品服务器而设计的。然而，它通常部署在几个保护层的后面，包括和边缘传输层、病毒/垃圾邮件管理、入侵保护和数据丢失预防。由于其中大多数都需要内容检查，将SSL/TLS卸载到外围也是常见的。

详细的设计取决于数据的价值、数据的公开程度、数量、类型和几个其他因素，以及组织对风险的偏好，以及你是否在一个受监管的行业中运作。因为我们不知道这些，所以我们不能对这些细节发表评论。

非军事区并没有死亡，但可能会更加微妙。