我们有一个包含 Web 服务器群的 Web 基础设施。它们位于一个负载均衡器后面,该负载均衡器负责 SSL 卸载。我们还有一个 IPS,当然还有一组防火墙。
现在,出于安全原因,我们被要求研究添加反向代理的可能性。我坚持认为这只是为了安全,因为我们不打算使用任何缓存。
我的问题是:这值得吗?增加一层是否有任何附加价值?如果有,是否值得花费时间?
答案1
如果您的 Web 服务器正在(预)分叉或使用轻量级进程(线程),那么在前端使用基于事件的代理(例如 ATS、nginx,而不是 varnish)可以有效防止 sloloris 类型的攻击。但是在没有任何缓存(或 DOS 攻击)的情况下,它会降低您的流量。
为什么如此反对缓存?