我的目标是让我们公司的同事能够通过公司网络外的代理服务器(Squid)向最终目标 API 服务器发出 https 请求。
我的同事可以从公司网络以及家里的电脑发出请求,因为他们有时在家工作。
背景:
最终目标 API 服务器要求我注册入站访问 IP 地址的白名单。可以将多个 IP 地址添加为白名单,但我不想添加所有可能发出 API 请求的 IP 地址。因此,我打算设置代理服务器,将每个 IP 地址的请求转发到 API 服务器,这样我就可以在 API 服务器的设置中获得一个固定的 IP 地址,并将其列入白名单。
但是,我意识到我需要将 IP 地址添加为代理服务器的白名单。我需要将公司网络发出请求的 IP 地址及其子网掩码以及每个同事家用电脑的 IP 地址列入白名单。添加白名单似乎需要付出同样的努力。
实现良好安全性目标的最佳做法是什么?
答案1
如果您决定使用代理路径,请部署安全代理(Proxy-over-TLS)并使用某些代理身份验证方法保护对它的访问,例如https://docs.diladele.com/tutorials/proxy_in_microsoft_azure/intro.html