アプリケーション層の前でリバースプロキシを実行すると、IP制限を処理するための "ベストプラクティス"がどこにあるのか不思議です。制限するIPアドレスはどこで処理する必要がありますか?
現在のところ、アプリケーションセキュリティを使用して特定のリソースへのアクセスをIPアドレスで制限していますが、リバースプロキシの背後で実行すると問題が発生しています。アプリケーションの代わりにプロキシで許可/拒否ルールを設定するのは簡単ですが、プロキシの背後にある複数のアプリケーションを実行するため、設定を変更すると他のアプリケーションに影響を与える可能性があります(巨大な危険ではありません) 。
フィルタをチェーンの上またはアプリケーションの近くに配置する方が良いですか?
アプリケーション制限を行い、すべての要求がプロキシから来ているリバースプロキシを追加することで、われわれが遭遇したような問題があり、ヘッダーを使用して「実際の」IPアドレスを見つける必要があります。
あなたのアプリケーションはホストされていますか?自分のサーバー? Co-lo?ラックスペース?私の最後の会社では、Rackspaceを使用し、ネットワークレベルでIPを制限する要求を送信しました。 –
現在、私共は共同設置されています。 AmazonのEC2環境に移行しています。私たちはネットワークレベルでIP制限を行うつもりはなく、時には特定のリソースだけをIPアドレスで制限する必要があります。 – ahanson