反向代理——它应该是不同的技术堆栈吗？

虽然前端和后端的不同技术在名义上提高了安全性，但其数量却颇具争议。简而言之，前端被攻陷并不意味着后端或网络的任何其他部分也被攻陷。虽然可以说攻陷前端的任何方法现在都可以在后端实施，但并不一定意味着该方法对新目标有效。

话虽如此，如果前端和后端的系统和配置几乎相同，那么是的，通过对其中一个使用不同的技术，您确实可以获得额外的安全性。

无论您使用相同还是不同的技术，我建议在每个系统上使用不同的帐户。

首先，大多数负载均衡器都充当反向代理维基百科 f5 开发中心。但是，负载平衡器（或反向代理）的架构方式在保护方面存在差异。注意：我将在以后交替使用术语“负载平衡器”（LB）和“反向代理”（RP）。

LB 通过充当所有通信的中介来提供额外的安全性。大多数企业级 LB 充当第 7 层代理。对于 Web 流量，客户端 HTTP 会话在 LB 处完全终止，LB 重新建立与服务器的服务器端 HTTP 连接。通过强制第 7 层 (l7) 终止，可以审查、清理整个有效负载，并将其干净且优化地发送回服务器。在许多情况下，LB 还会将 Web 应用程序防火墙作为附加模块实现，以在将流量发送回 Web 服务器之前进一步检查流量是否存在异常模式。

上述模型中 LB 提供的保护相对强度取决于流量是在 l7 还是更低级别终止。某些负载均衡器可能仅在网络层工作，这基本上意味着 LB 可能只是在流量从客户端流向服务器端时重写 IP/端口信息。此外，完全可以配置能够进行 l7 完全代理的 LB，使其仅在网络/传输层上工作以提高性能（l7 终止需要大量资源）。在这种情况下，负载均衡器可能不会尽可能彻底地清理流量。

回到您的模型，如果 RP=LB，那么从架构角度来看，所提出的架构比当前模型增加了额外的复杂性。但是，这里的关键是，对于所提出的模型，S1/S2 发起到 DMZ 的出站连接。攻击者可以破坏 RP，但无法建立返回 S1/S2 或内部网络的新会话。但是，如果 S1/S2 或 DB、MQ 中存在应用程序漏洞，攻击者可以预见地通过隧道返回网络以访问 S1/S2。此外，由于“RP”使用与 S1/S2 相同的技术堆栈，因此 S1/S2 中的任何漏洞也可能存在于“RP”中。但是，如果“RP”不可破解，那么所提出的模型将提高安全态势，因为 S1/S2 的网络堆栈受到保护，攻击必须首先针对应用程序堆栈。

虽然这种模型增加的安全价值值得商榷（如果攻击者破坏了 dmz/int fw，那么他们就可以公开访问内联网，并且这种模型无法防御常见的鱼叉式钓鱼攻击），但对于合规人员来说，这种模型可能更容易接受。对于 PCI 合规性来说尤其如此，因为任何可以访问 CHD 环境的系统也都在范围内。在上述情况下，整个 DMZ 可能都在范围内，但如果您从 CHD 环境建立出站连接，则只有“RP”会被添加到范围中。虽然我并不是暗示情况确实如此，但我见过架构师以这种方式来缩小 PCI 范围。