语境
- 我们目前在 DMZ 中有一个 Apache Web 服务器,它被设置为内部运行 Windows Server 2008(IIS)的两台机器的反向代理和负载平衡器。
- Apache 服务器具有正版 SSL 证书,并且支持 http 和 https,但是负载均衡部分中的均衡器成员设置为:BalancerMember {https://server1} 和
{https://server2}。 - IIS 网络服务器具有自签名证书,以便响应 https 请求。
我的问题: 我们是否需要使用 SSL 将任何请求从 Apache(在 DMZ 中)转发到内部?
例如,反向代理可以使用 HTTP 转发请求吗?如果可以,为什么我要选择使用 SSL 转发它们?(dmz 和内部之间的 http 线路有多安全);
换句话说,我可以完全禁用内部 Web 服务器上的 SSL 吗?
答案1
是的,没有理由不能禁用代理/LB 和 IIS 服务器之间的 SSL,并从 IIS 服务器中删除 SSL。是否应该这样做取决于您对 DMZ 和 IIS 之间的本地网络的信任程度。