我已经为 PC 设置了代理(使用 Sophos 网关),并且我们使用白名单(因此用户只能访问允许的网页)。
在服务器上使用代理是否也是良好的安全做法?
其好处是什么?坏处又是什么?
我猜是允许所有人使用的端口,但仍然比开放互联网好,对吧?或者,如果服务器的开放互联网不用于浏览,而只用于使用它的不同应用程序,那么它是否可以?
编辑:或者最好只使用防火墙(代理的好处是您可以允许网址而不仅仅是可以更改的 IP 地址)?
答案1
这确实取决于代理。TANSTAAFL。如果代理服务器的唯一工作是充当单个服务器的代理,没有添加任何处理或功能,那么仅使用防火墙对您来说并没有什么好处 - 甚至可能更糟......但这不是全部情况。
如果您有一个代理,您可以使用它来通过多种方式增强安全性,包括对发送和接收的内容进行额外检查,添加额外的身份验证,当然,使您的 Web 服务器对外界不可见且不可访问 - 如果做得正确且有价值,这样可以提供额外的安全层。
当然,代理的好处不仅限于(或者在我看来甚至不仅限于)与安全性有关。代理中的任何安全性几乎都是实际用途的附带好处,例如负载共享、https 卸载、故障转移、内容缓存、地址重写和统一多个资源。
答案2
在许多情况下,您可能希望添加某种代理,并且市场上有很多产品(硬件和软件)。我们使用 FortiGate 作为网关/路由器/防火墙的组合。通过订阅,您可以添加防病毒等功能,入侵防御系统、SSL 检查、Web 过滤器、数字流程处理和更多。
话虽如此,我强烈建议至少使用某种防火墙除了操作系统(如果是 Windows)内置的防火墙。一般来说,让服务器自由浏览并不是一个好的做法,当然这在一定程度上取决于服务器上的信息或服务器上运行的服务有多大价值。
说到 FortiGates(我不太了解 Sophos,因为我们只使用它的 UTM 模块),即使没有订阅,您也可以打开/关闭特定端口、转发端口等。它为您提供了足够的灵活性来控制本地子网或互联网,这知识产权可以与哪个等对话。用于阻止/允许特定的网址但是您需要 Web 过滤功能(订阅)。
好处
- 细粒度的流量控制
- 大大提高安全性(特别是在添加上述功能时)
缺点
- 延迟(取决于产品)
- 配置
免责声明
我与 FortiNet / FortiGate 没有任何关系,只是一个使用它们并对它们感到满意的消费者。