Я смотрю на брандмауэр веб-приложений Barracuda, чтобы он располагался перед сервером LAMP на предприятии Colo.
Из того, что я собрал в документации, вы можете настроить его в режиме моста или в режиме маршрутизации, где режим маршрутизации указан как «предпочтительный, поскольку он более безопасен».
Предполагая, что перед Barracuda установлен брандмауэр, дизайн в моей голове выглядит так:
Сервер LAMP ---- Barracuda ------ межсетевой экран / маршрутизатор
ЛАМПА: 192.168.1.2/30 ГВт: 192.168.1.1/30
Barracuda: LAN: 192.168.1.1/30 WAN: 10.0.0.2/30 GW: 10.0.0.1/30
Межсетевой экран: WAN: 200.200.200.200/28 LAN: 10.0.0.1/30
Таким образом, Barracuda - это внутренний брандмауэр DMZ для блока LAMP, который выполняет NAT (внутри / снаружи) и маршрутизирует внешний брандмауэр, который, в свою очередь, выполняет NAT (внутри / снаружи). Двойной NAT кажется немного неоптимальным при такой адресации / маршрутизации, но я видел множество диаграмм (без IP, заметьте), которые описывают эту конфигурацию [server <- reverse proxy <- firewall].
Это верно? А как насчет «нормального» обратного прокси, такого как nginx или Apache + mod_proxy? Обычно это мост или маршрутизатор? Не уверен, как лучше всего этого добиться.
Маршрутизируется также «нормальный» обратный прокси-сервер, и это обычно считается наиболее оптимальной конфигурацией для большинства приложений.
Есть несколько причин для «мостовой» настройки, но большинство из них зависит от конкретного приложения. Мостовая установка никоим образом не изменяет запрос / ответ (или не должна), тогда как прокси-сервер действует как посредник, что иногда может вызывать проблемы.
У меня самого нет брандмауэра Barracuda Application, однако я не могу предположить, что он сильно отличается от сервера Apache + Mod_Proxy + Mod_Security.