我在两个不同的服务器上有两个应用程序,一个客户端和一个休息服务器。 服务器位于DMZ中,客户端位于托管服务器上。 我的企业IT部门希望只与托管服务器建立联系,以便防火墙只能看到传出连接。 他们建议采用以下架构:
托管dmz 客户< --------------->服务器 代理服务器代理客户端
1)代理服务器打开一个tcp套接字 2)代理客户端永久连接到此tcp套接字 3)http请求可以通过tcp连接从客户端应用程序转发到休息服务器应用程序
你知道任何实现这种主动代理机制的软件吗? (例如apache,nginx ......) 仅为Web托管机器打开端口80是否更安全?
答案 0 :(得分:0)
你知道任何实现这种主动代理机制的软件吗?
有多种解决方案:从netcat(nc)到socks5。我建议你从netcat开始,因为它更容易理解和配置。
仅为Web托管计算机打开端口80是否更安全?
是的,将端口80转发到DMZ更安全,因为您只是针对特定流量在防火墙上打孔。
另一方面,在80端口转发之上添加访问列表应该可以实现,但可能还有其他问题,如公司政治,硬件限制等......