Я работаю с ColdFusion уже давно. В моей голове зародилось понимание, что для максимальной безопасности веб-сервер следует физически отделить от сервера ColdFusion. Поэтому я всегда делал это, используя то, что Adobe называет «распределенным режимом». IIS находится на одном сервере, а ColdFusion — на другом. Они взаимодействуют через веб-коннектор, как обычно, хотя и по сети.
Уже несколько лет я натыкаюсь на посты, в которых упоминается, что использование обратного прокси-сервера так же безопасно, как и работа в распределенном режиме. При настройке обратного прокси-сервера веб-сервер и сервер ColdFusion находятся на одной физической машине, но есть прокси-сервер, который обрабатывает запросы и выполняет функции веб-сервера (по сути). Я все еще считаю физическое разделение более безопасным.
Трудно найти какие-либо определенные рекомендации в Интернете. Распределенный режим все еще упоминается даже вДокументация ColdFusion 11-Дополнительную информацию о Web Server Configuration Tool, включая информацию о многосетевом подключении и распределенном использовании, см. в руководстве по настройке и администрированию ColdFusion.. (Хотя на указанной странице об этом не так уж много информации.) Кажется, обе настройки упоминаются в разных блогах и сообщениях, но я обнаружил, что чаще люди используют настройку обратного прокси-сервера, а не распределенного режима. Ничего конкретного, просто мое восприятие, поскольку я прочесывал интернет. Работа в распределенном режиме с веб-сервером и сервером ColdFusion на отдельных серверах определенно добавляет уровень сложности при настройке. Статические файлы находятся на веб-сервере, а файлы CFML на сервере ColdFusion. И т. д. При использовании сторонних продуктов может быть сложно правильно настроить.
Итак, мой вопрос: при прочих равных условиях, для максимальной безопасности вы используете распределенный режим или настройку обратного прокси? И несколько причин, почему вы это делаете.
К сожалению, руководства по блокировке ColdFusion сбивают с толку. Вот что я нашел.
вРуководство по блокировке ColdFusion 9(страницы 14-15) говорится:
Вы также можете рассмотреть установку ColdFusion в распределенном режиме. Это позволяет веб-серверу находиться на физически отдельном сервере от сервера ColdFusion. Вы также можете подключить несколько веб-серверов к одному серверу ColdFusion (в документации ColdFusion 9 это называется multihoming). Такое разделение может обеспечить дополнительную безопасность и должно рассматриваться в средах, требующих максимальной безопасности. Чтобы установить распределенный режим, выберите опцию встроенного веб-сервера. Информацию о настройке распределенного режима см.http://www.adobe.com/support/coldfusion/administration/cfmx_in_distributed_mode/cfmx_in_distributed_mode02.html. Подробнее о многоадресной связи см.http://help.adobe.com/ru_RU/ColdFusion/9.0/Admin/WSc3ff6d0ea77859461172e0811cbf364104-7fc3.html.
Другой способ разделить общедоступный веб-сервер и сервер ColdFusion — использовать обратный прокси-сервер. В настройке обратного прокси-сервера на сервере ColdFusion по-прежнему установлен веб-сервер, но все внешние клиентские запросы обрабатываются прокси-сервером, а некоторые запросы отправляются на сервер ColdFusion для обработки.
вРуководство по блокировке ColdFusion 10(стр. 27) это утверждение было сокращено до следующего:
Для максимальной безопасности рассмотрите возможность запуска веб-сервера и ColdFusion на отдельных физических серверах. Один из способов разделить общедоступный веб-сервер и сервер ColdFusion — использовать обратный прокси-сервер.
При настройке обратного прокси-сервера на сервере ColdFusion все равно будет установлен веб-сервер, однако все внешние клиентские запросы будут обрабатываться прокси-сервером, и только определенные запросы будут отправляться на сервер ColdFusion для обработки. Ознакомьтесь с документацией по веб-серверам, чтобы настроить обратный прокси-сервер.
И вРуководство по блокировке ColdFusion 11нет никаких упоминаний ни о том, ни о другом. Кажется, это должно быть где-то на странице 11, где в других документах были размещены утверждения вместе с запуском инструмента конфигурации веб-сервера. Мне очень любопытно, почему Пит убрал это из последнего документа.
Поскольку я использую Adobe ColdFusion, я также пометил этот вопрос тегом Railo для получения дополнительной информации.
решение1
Вы путаете «распределенный режим» (наличие веб-сервера и сервера CF на отдельных компьютерах) как взаимоисключающие с использованием обратного прокси. На самом деле, это две отдельные проблемы. Обратный прокси — это просто альтернатива использованию стандартного веб-коннектора. Он просто заставляет ваш веб-сервер (IIS, Apache, Nginx) перенаправлять запросы на страницы CFML на порт HTTP/HTTPS или AJP на заданном хосте/порту на вашем компьютере CF. Вы можете настроить обратный прокси для прокси на localhost ИЛИ на любой другой сервер в вашей сети, пока открыты соответствующие порты.
Например, вы можете включить прослушиватель AJP в Tomcat на порту 8009. Затем на вашем веб-сервере Apache (который может находиться в любом месте вашей сети) вы перенаправляете прокси-запросы для файлов .cfm на этот порт с помощью модуля proxy_ajp.
Я лично никогда не имел дела с распределенным режимом, поскольку, похоже, существует гораздо меньшее количество векторов атак, направленных на мои веб-серверы. Но если вы решите использовать «распределенный режим», вы можете сделать это с помощью стандартного коннектора ИЛИ обратного прокси-сервера. Это на ваше усмотрение.
решение2
РАСПРЕДЕЛЕННЫЙ режим или настройка ОБРАТНОГО ПРОКСИ обеспечат в основном аналогичный уровень безопасности, но РАСПРЕДЕЛЕННЫЙ режим будет иметь дополнительные сценарии сервера ВЫСОКОЙ ДОСТУПНОСТИ И НАДЕЖНОСТИ.