我的团队在 Amazon AWS 上为客户构建了一个内联网门户,并在其上使用 WebSockets 执行通知等操作和其他小任务。我们主要从服务器发送事件,但我们也使用它以便客户端可以快速通知服务器用户的存在。
客户的要求之一是我们使用应用程序级防火墙来屏蔽恶意请求和类似的东西。我们安装了 Sophos UTM 来处理这个问题。对于 HTTP 流量,这很有效。但是,UTM 不支持 WebSockets,所以我们基本上必须将其配置为盲目代理请求。由于我不完全理解的原因(即使经过数小时的调试),这是一个巨大的瓶颈,并使一切都变得缓慢(即使 CPU 和内存使用率很好)。
然后我们决定,如果 UTM 无论如何都不能过滤流量,那就使用 nginx 来分离套接字流量,让 UTM 处理常规流量。这个设置运行良好,性能也很棒。
然而,客户的安全人员担心 WebSocket 流量没有被筛选。
因此,我有三个相关的问题:
这值得担心吗?如果不是,有什么可以比我更好地解释这个问题吗?
如果这是一个问题,是否有任何应用程序防火墙可以帮助我们?我真的不知道我们要过滤什么,但希望这是防火墙的工作。
编辑:我错了,我们实际上是在套接字上进行双向通信,尽管这仍然相当简单。它包括“用户是否正在查看此选项卡”、“用户是否已确认通知”等。