我们目前已将一些工作外包给一家公司,以将我们的网站迁移到 CMS 系统。他们要求我们允许 Web 服务器直接通过 80 端口向外部站点发出出站调用 - 允许整个机器不受限制地访问互联网。
多年来,我们在没有这个的情况下运营我们的网站,我真的不喜欢允许从网关之外的任何机器进行这种访问的想法;特别是在最近一次事件之后,我们的 ISA 服务器上的应用程序冲突导致它浪费了大量的带宽。
我可以理解他们的理由(从其他来源获取动态内容等),但我真的更希望他们使用代理服务器进行所有出站访问。
我是不是太无理取闹了?在我看来,允许完全访问是没有必要的,而且只会自找麻烦……
答案1
我不是安全专家,但我同意您的观点,并且认为您对此有两种方法:
- 拒绝该请求并解释公司政策要求所有传出的请求都必须通过代理服务器。
- 确认他们的请求被批准,但设置一些透明代理防火墙规则,从而强制所有 80/443 流量通过代理服务器。
答案 1 更符合公司政策,答案 2 让各方都满意:)
希望这些答案与您的思路一致,也许您会从比我更开明的人那里得到一些很好的答案。
答案2
我认为“胡说八道”是唯一合理的回应。如果他们能给你一个网站/地址列表,或者真的如果理由充分,那么可以考虑,但仅仅“给予我们不受约束的外部访问权限”是不够的。
答案3
这并非不合理,只要确保他们有充分的理由,如果这让你感到不舒服。我参与的每个 Web 应用程序都需要某种传出访问权限,才能访问合作伙伴 API、下载数据提要或向客户发送通知。在拥有许多此类应用程序和数百甚至数千个合作伙伴的大型站点中,期望每个端点都获得特别授予的访问权限是一项非常不合理的任务。
从实际角度来看,如果您的生产服务器无法获取软件更新,这也会变得很麻烦。
我们的争论总是关于是否使用 NAT,从未出现过无法访问或使用代理的问题。关于代理:这只是另一个可能的故障点,如果安装一个代理,可以节省多少带宽?
说真的,你害怕什么?