アプリケーション層の前でリバースプロキシを実行すると、IP制限を処理するための "ベストプラクティス"がどこにあるのか不思議です。制限するIPアドレスはどこで処理する必要がありますか?
現在のところ、アプリケーションセキュリティを使用して特定のリソースへのアクセスをIPアドレスで制限していますが、リバースプロキシの背後で実行すると問題が発生しています。アプリケーションの代わりにプロキシで許可/拒否ルールを設定するのは簡単ですが、プロキシの背後にある複数のアプリケーションを実行するため、設定を変更すると他のアプリケーションに影響を与える可能性があります(巨大な危険ではありません) 。
フィルタをチェーンの上またはアプリケーションの近くに配置する方が良いですか?
アプリケーション制限を行い、すべての要求がプロキシから来ているリバースプロキシを追加することで、われわれが遭遇したような問題があり、ヘッダーを使用して「実際の」IPアドレスを見つける必要があります。
できるだけ早くフィルタリングし、アプリケーションから離してください。これらの種類のものは、ネットワーク操作によってよりよく管理されます。なぜなら、アプリの開発者や管理者は、IPアドレスを変更するときに常にループに入っているわけではなく、ネットワークの人々が通常最初に知っているからです。また、通常、ネットワークタイプのツールは、ソフトウェアレベルのツールにアクセスを提供/制限する方が優れています。
私は決してIPアドレスによって制限しません。そのような制限は、IPアドレスが存在するネットワーク層ではなく、セキュリティ層の仕事です。私は、アプリケーションがネットワークの実装を制限することに価値がないことはめったにありません。
私はできるだけ早くIPアドレスを制限します。これにより、次のレイヤーまたはサブネットワークで不要なトラフィックが排除されます。だから私のアドバイスはu07chのものと似ています。
これは、IPによって制限する必要があるリソースのタイプによって異なります。アプリケーションの一部をIP経由で制限する必要がある場合は、アプリケーションがそれを処理する必要があります。アプリケーション全体をブロックする必要がある場合は、チェーンをさらに上げる必要があります。
一般的なルールは、設置している監査システムを妥協することなく、できるだけ早く制限することです(ほとんどの場合、人々がセキュリティシステムを壊そうとしたときを知ることをお勧めします)。
あなたのアプリケーションはホストされていますか?自分のサーバー? Co-lo?ラックスペース?私の最後の会社では、Rackspaceを使用し、ネットワークレベルでIPを制限する要求を送信しました。 –
現在、私共は共同設置されています。 AmazonのEC2環境に移行しています。私たちはネットワークレベルでIP制限を行うつもりはなく、時には特定のリソースだけをIPアドレスで制限する必要があります。 – ahanson