我們有一個帶有 Web 伺服器群組的 Web 基礎架構。它們位於執行 SSL 卸載的負載平衡器後面。我們還有一個 IPS,顯然還有一套防火牆。
現在,出於安全原因,我們被要求研究添加反向代理的可能性。我堅持認為這只是出於安全原因,因為我們不打算使用任何快取。
我的問題是:值得付出努力嗎?附加層是否有任何附加價值?
答案1
如果您的網頁伺服器是(預先)分叉或使用輕量級進程(執行緒),那麼在前面使用基於事件的代理程式(例如 ATS、nginx,而不是 varnish)可以針對 sloloris 類型的攻擊提供很多保護。但在沒有任何快取(或 DOS 攻擊)的情況下,它會減慢您的流量。
為什麼這麼反緩存?