Tomcat インスタンスを Web アプリケーション攻撃から保護するスタンドアロン インスタンスとして mod_security をセットアップしたいと考えています。mod_security を Apache モジュールとしてインストールするのではなく、リバース プロキシに mod_security をインストールすることで、これを行うことの長所と短所を知っている人はいますか? これらの方法のいずれかで mod_security を実装した人はいますか? もしそうなら、どちらが優先されますか?
2 に答える
0
2 つのオプションに違いはありません。Tomcat を保護するために、どの非リバース プロキシにモジュールをインストールしますか?
于 2015-08-14T16:40:10.143 に答える
0
どちらもあなたにとって同じなので、質問は本当に意味がありません。
すでに Apache サーバーがある場合は、次の 2 つの方法のいずれかで ModSecurity をインストールします。
ModSecurity を既存の Apache インスタンスにモジュールとしてインストールすることによる組み込みモード。利点は、別の Apache インスタンスを設定する必要がないことと、ModSecurity が Apache が実行されている環境にアクセスできることです (したがって、たとえば環境変数を表示したり、同じログ ファイルに記録したりできます)。
リバース プロキシ モードで。これには、ModSecurity のみを使用して別の Apache インスタンスをセットアップし、通常の Apache にリクエストを送信する前に、すべてのリクエストをそこに通す必要があります。ここでの利点は、ModSecurity 専用の Web サーバーであるため、既存のバージョンの Apache が既にリソースを消費している場合、リソースを共有しません。欠点は、インフラストラクチャが 2 倍になり、複雑さが増すことです。
個人的にはオプション1が好きです。
ただし、TomCat の前に専用の Web サーバーをセットアップする必要があるため、2 つのオプションは同じです。セットアップした Apache (または Nginx) の新しいインスタンスは、組み込みモードで実行され、Tomcat サーバーへのリバース プロキシとして機能します。
個人的には、Tomcat のようなアプリ サーバーの前に Apache のような専用の Web サーバーを実行するのが最善だと常に考えています。特に一般向けの Web サイトではそうです。確かに、Tomcat にはかなり優れた Web サーバー (Coyote と呼ばれる) が含まれており、Web サーバーのほとんどのニーズに対応できます。より優れたエンドポイント サーバー (たとえば、ModSecurity を実行する機能を含む!)。
混乱が生じた場合に備えて、Apache は実際には Apache HTTP Server の略であり、実行されるプロセスの後に Apache httpd と呼ばれることがあります。これは Apache で最も人気のあるソフトウェアであるため、名前が短縮されていますが、Apache には実際には多くのソフトウェアがあります (Apache Tomcat を含む - 通常は単に Tomcat に短縮されます)。
于 2015-09-07T17:31:06.693 に答える