Sicherheitsexperten von Drittanbietern empfehlen, einen Reverse-Proxy vor dem Webserver (alle in der DMZ gehostet) als Sicherheitsmaßnahme für bewährte Methoden auszuführen.
Ich weiß, dass dies eine typische empfohlene Architektur ist, da sie eine andere Sicherheitsstufe vor einer Webanwendung bietet, um Hacker zu verhindern.
Da ein Reverse-Proxy HTTP munter zwischen dem Benutzer und dem internen Webserver hin und her pendelt, bietet er keine Möglichkeit, das Hacken des Webservers selbst zu verhindern. Mit anderen Worten, wenn Ihre Web-App eine Sicherheitslücke aufweist, bietet der Proxy keine nennenswerte Sicherheit.
Und da das Risiko eines Angriffs auf eine Webanwendung viel höher ist als das eines Angriffs auf den Proxy, kann man dann wirklich viel gewinnen, wenn man ein zusätzliches Kästchen in der Mitte hinzufügt? Wir würden keine der Caching-Funktionen eines Reverse-Proxys verwenden - nur ein dummes Tool, um Pakete hin und her zu pendeln.
Fehlt hier noch etwas? Ist die Reverse-Proxy-HTTP-Paketprüfung so gut, dass sie sinnvolle Angriffe ohne größere Leistungsengpässe erkennen kann, oder ist dies nur ein weiteres Beispiel für Security Theatre?
Reverse Proxy ist MS ISA fwiw.
quelle