Re: Проброс SSL-аутентификации на backend

[Бондарец Иван]

Ну, файервол на фронтендах точно никто включать/настраивать не будет, они и
так находятся в ДМЗ серьезного файервола. Тогда всякий смысл архитектуры
фронтенд-бекенд пропадает, ничто мне не мешает просто пробросить порт на
файерволе сразу на бекенд. Основной смысл (на мой взгляд) во фронтенде -
терминирование tcp-сессий на нём, что исключает низкоуровневые атаки на
бекенд, оставляя только атаки на приложение, от которых можно немного
прикрыться SSL с аутентификацией, также подумываем над выделенным WAF
вдобавок к уже имеющимся средствам защиты.

7 сентября 2009 г. 11:14 пользователь Daniel Podolsky
<onokonem at gmail.com>написал:

>
>
>> Ваша задача решаема на более низких уровнях. Например, с помощью OpenVPN
>> и редиректа портов.
>>
>  Да банального порт-форвардера на фронт-енде достаточно.
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://nginx.org/pipermail/nginx-ru/attachments/20090907/3979f6c1/attachment.html>