我们在本地有一个 cisco 负载均衡器,可将流量路由到我们的本地 DMZ 服务器
我们想使用 Azure 负载均衡器或 Azure 解决方案 (AG),它可以平衡本地 DMZ 服务器的流量,基本上用 Azure 替换 CISCO
可能吗?我们目前在我们的 DMZ 环境中托管了 SFT/HTTPS 站点。
TIA
问问题
2326 次
1 回答
1
您提出的不是应用程序网关的用例。应用程序网关是第 7 层负载平衡器/反向代理。您想要做的几乎是将它们视为一个站点转发代理。这不是一个好的架构,即使从长远来看最终可能会更加昂贵,因为当您的 App Gateway 接受请求然后通过 Internet 上的出站连接转发到您的 Web 服务器时,您需要为数据出口付费。然后,他们从您的 Web 服务器接收响应标头/正文,并再次将该结果发送给原始调用者。
在这种情况下,您不得不为您的应用程序使用端到端 SSL,从而消除了将来使用应用程序网关进行 SSL 卸载的任何可能性。如果您的流量未加密或不需要加密,则流量来源和目的地的可预测性会增加网站用户和公司的安全风险。
您也有这种架构可能带来的安全隐患。您的 Web 服务器至少仍然需要由您的应用程序网关访问,这意味着它们要么无论如何都可以在 Internet 上免费使用(在这种情况下,为什么要使用应用程序网关),或者它们在单层防火墙并且只允许来自您的应用程序网关的源 IP 地址的流量。
防火墙方法的坏消息是您不能将静态公共 IP 地址分配给应用程序网关,它被强制为动态。实际上,在重新启动应用程序网关之前,公共 IP 不会改变,但您应该知道,当(而不是如果)它们这样做时,您的防火墙规则将是错误的,并且您的应用程序网关将无法再访问您的 DMZ 服务器,这意味着中断。唯一真正的解决方案是可以执行基于 URI 的防火墙规则的防火墙......执行 DNS 查找的成本(时间和 CPU)的影响,查看流量是否来自应用程序网关的 DNS 地址 - 某事像bd8f86bb-5d5a-4498-bc0c-e1a48b3873bf.cloudapp.net然后允许或拒绝请求。
如上所述,进一步的安全考虑是您的流量将相当一致地来自一个位置(应用程序网关)并到达您的 DMZ。如果有明确定义的流量来源,则该事实可用于攻击您的服务器/DMZ。虽然我确信攻击这不是微不足道的,但通过使 Internet 上的源和目标流量可预测,您会破坏您的安全态势。
我现在为企业应用程序配置了大量的应用程序网关,出于病态的好奇心,我尝试使用 HTTP 配置一个非常基本的网关来执行您正在尝试的操作 - 幸运的是(是的,幸运的是)我收到了 HTTP 502所以我要说这是不可能的。我要补充一点,我很高兴这是不可能的,因为这是一个坏主意 (TM)。
我的建议是,要么将 DMZ 服务器迁移到 Azure(以获得最佳性能/网络延迟),要么实施 VPN 或(最好)ExpressRoute。然后,您将能够使用正确的架构部署应用程序网关,您可以在其中终止用户在应用程序网关处的连接,并将 RFC1918 网络中的请求重新传输到 DMZ 服务器,这些服务器在网络中响应回应用程序网关并最终返回给请求者。
抱歉,这不是你想听到的。如果你下定决心要这样做,也许nginx可以做到?
于 2018-03-06T22:47:32.553 回答