우리는 웹 서버 팜을 갖춘 웹 인프라를 보유하고 있습니다. SSL 오프로드를 수행하는 로드 밸런서 뒤에 있습니다. 우리는 또한 IPS와 분명히 일련의 방화벽을 가지고 있습니다.
이제 보안상의 이유로 역방향 프록시 추가 가능성을 조사해 달라는 요청을 받았습니다. 캐싱을 사용할 계획이 없기 때문에 이는 보안상의 이유일 뿐이라고 주장합니다.
내 질문은: 노력할 가치가 있습니까? 추가 레이어에 추가된 가치가 있습니까? 그렇다면 소요 시간을 정당화할 수 있습니까?
답변1
웹 서버가 (사전)포킹 중이거나 경량 프로세스(스레드)를 사용하는 경우 앞에 이벤트 기반 프록시(예: ATS, nginx, NOT varnish)를 사용하면 sloloris 유형 공격으로부터 많은 보호를 제공합니다. 그러나 캐싱(또는 DOS 공격)이 없으면 트래픽 속도가 느려집니다.
왜 그렇게 안티 캐싱인가?