使用 IIS 进行 HTTPS 是否“安全”?

使用 IIS 进行 HTTPS 是否“安全”?

我正在尝试在 IIS(Windows Server 2008 R2 和 Windows Server 2012)中尽可能安全地设置 HTTPS。为了缓解以下攻击和弱点RC4在尽可能尝试使用 ECDHE 时,我发现:http://forums.iis.net/post/2056602.aspx

因此,我只是想知道在企业系统中直接使用 IIS 进行 HTTPS 是否安全? 或者最好使用其他东西作为 SSL 代理?

答案1

是的。它是安全的,尽管它的安全性仅限于您的环境和政策允许的程度。

我曾见过大型企业部署中将 IIS 用作前线,在这些企业中,安全性至关重要,并且会定期审核 SSL。它不需要花费太多精力来排除弱密码并执行其他缓解措施,但它确实需要修改默认的开箱即用设置。

然而,即使在这种情况下,后端 IIS 服务器也不会直接暴露,而是通过 DMZ 区域中的 IIS 代理(URL 重写/ARR)传递,该区域由 2 个防火墙和其他安全设备缓冲,然后才到达后端服务器,并且对允许的流量进行严格限制。代理很好。

话虽如此,但还是有一点需要说明,那就是代理服务器与后端服务器采用不同的技术堆栈。环境越不均匀,单一漏洞获得后端完全访问权限的可能性就越小。

相关内容