Security
在後端進行通信的集群節點之間的防火牆有多嚴格?
我在使用 HAProxy 的集群中有 3 個 apache 伺服器。目前,我允許 3 個伺服器之間的後端 IP 上的所有流量 - 我考慮只允許 HTTP 埠(和 memcached 埠)上的內部數據包 - 這是否超出了頂部?安全性是否會超過性能影響(有嗎?)。我知道加強節點之間的私有防火牆只有在其中一台伺服器從前端被滲透時才會有益,從而阻礙攻擊者在內部進行的操作。
你做什麼工作?
謝謝
首先回答您的成本問題。是的,有成本,但防火牆將非常簡單,以至於您不會注意到它。
回答安全問題。基本上,您真的不能在安全性方面超越頂峰。但它仍然必須是一個可行的情況。只允許來自您信任(或需要信任)的來源的流量可以提高安全性,但仍然可行。
一個簡單的防火牆就足夠了,易於維護,幾乎沒有(如果有的話)成本並提高了安全性。可以說,只有在一台機器被滲透時才需要它。但是你和你最薄弱的環節一樣安全。