我在使用 HAProxy 的集群中拥有 3 个 Apache 服务器。目前,我允许 3 个服务器之间后端 IP 上的所有流量 - 我考虑过只允许 HTTP 端口(和 memcached 端口)上的内部数据包 - 这是否太过分了?安全性优势是否超过了性能影响(有吗?)。我理解,只有当其中一台服务器从前端被渗透时,加强节点之间的私有防火墙才会有益,从而阻碍攻击者在内部进行的操作。
你做什么工作?
谢谢
答案1
首先回答你的开销问题。是的,确实存在开销,但防火墙非常简单,你不会注意到它。
回答安全问题。基本上,您真的不能在安全性方面做得过分。但这仍然必须是一个可行的情况。仅允许来自您信任(或需要信任)的来源的流量可以提高安全性,但仍然可行。
一个简单的防火墙就足够了,易于维护,几乎没有任何开销(如果有的话),而且可以提高安全性。可以说,只有当一台机器被入侵时才需要它。但你的安全性取决于你最薄弱的环节。