1

アプリケーション層の前でリバース プロキシを実行していますが、IP 制限を処理するための "ベスト プラクティス" の場所がどこにあるのか疑問に思っています。

現在、アプリケーション セキュリティを使用して特定のリソースへのアクセスを IP アドレスで制限していますが、リバース プロキシの背後で実行するように移行したときに、これがいくつかの問題を引き起こしました。アプリケーションではなくプロキシで許可/拒否ルールを構成するのは非常に簡単ですが、プロキシの背後で複数のアプリケーションを実行しているため、そこで構成を変更すると、他のアプリケーションに影響を与える可能性があります (大きな危険ではありませんが、依然として存在します)。 .

フィルターをチェーンのさらに上に置くのと、アプリケーションの近くに置くのとではどちらが良いですか?

アプリケーションの制限を行ったり、すべてのリクエストがプロキシから「来る」リバース プロキシを追加したりして、「実際の」IP アドレスを見つけるためにヘッダーを使用する必要が生じたような問題はありますか?

4

4 に答える 4

2

I would never restrict by IP address. Restrictions like that are the job of a security layer, not of the Network layer, which is where IP addresses live. I rarely find value in having an Application restrict the implementation of the Network.

于 2009-05-08T17:21:32.257 に答える
1

これは、IP によって制限する必要があるリソースのタイプによって異なります。アプリケーションの一部を IP 経由で制限する必要がある場合は、アプリケーションで処理する必要があります。アプリケーション全体をブロックする必要がある場合は、チェーンのさらに上にいる必要があります。

一般的なルールは、実施している監査システムを損なうことなく、できるだけ早く制限することです (セキュリティ システムをいつ破ろうとするかを知ることは、ほとんど常に良い考えです)。

于 2009-05-10T14:16:37.547 に答える
0

I restrict by IP addresses as early as possible - this eliminates unnecessary traffic in the following layers or subnetworks. So my advice is similar to u07ch's do it as early as possible.

于 2009-05-08T17:24:38.100 に答える