我们在应用层面前运行反向代理,我想知道处理IP限制的“最佳实践”所在地。
目前,我们使用应用程序安全性来限制通过IP地址访问特定资源,但是当我们转向在反向代理后面运行时,这会导致一些问题。在代理而不是应用程序中配置允许/拒绝规则非常容易,但由于我们在代理后面运行多个应用程序,因此对配置进行修改可能会影响其他应用程序(不是很大的危险,但仍然存在)
在过程中进一步向上或靠近应用程序进行过滤是否更好?
是否存在任何陷阱,例如我们通过执行应用程序限制和添加反向代理所遇到的所有请求“来自”代理,从而迫使我们使用标头来查找“真实”IP地址。 / p>
答案 0 :(得分:3)
我们尽早过滤并远离应用程序;网络运营可以更好地管理这些事情。原因是应用程序开发人员或维护人员在更改IP地址时并不总是处于循环中,而人们通常是第一个知道的网络操作员。网络类型工具通常也更好地提供/限制对软件级工具的访问。
答案 1 :(得分:2)
我永远不会受到IP地址的限制。这样的限制是安全层的工作,而不是IP地址所在的网络层。我很少发现让应用程序限制网络实施的价值。
答案 2 :(得分:1)
这取决于需要由IP限制的资源类型。如果应用程序的某些部分需要通过IP进行限制,那么应用程序应该处理它。如果整个应用程序需要被阻止,那么你应该进一步上升。
一般规则是尽可能早地限制,而不会影响您已有的任何审计系统(了解人们何时试图破坏您的安全系统几乎总是一个好主意)。
答案 3 :(得分:0)
我尽可能早地限制IP地址 - 这可以消除以下层或子网中不必要的流量。所以我的建议与u07ch类似,尽早做到。