Я настроил прокси (с использованием шлюза Sophos) для ПК, и мы используем белый список (поэтому пользователи могут получать доступ только к разрешенным веб-страницам).
Является ли использование прокси на серверах хорошей практикой безопасности?
Какие преимущества и недостатки?
Я предполагаю, что разрешенные порты используются для всех, но все же лучше, чем открытый Интернет, верно? Или открытый интернет с серверов нормально, если он не используется для просмотра, только для разных приложений, которые его используют?
Изменить: Или лучше просто использовать брандмауэр (преимущество прокси-сервера в том, что вы можете разрешить веб-адреса, а не только IP-адреса, которые могут изменяться)?
Существует множество сценариев, в которых вы хотели бы добавить какой-либо прокси, и существует множество продуктов (аппаратное и программное обеспечение). Мы используем FortiGate в качестве комбинированного шлюза / маршрутизатора / межсетевого экрана. С подпиской вы можете добавлять такие функции, как Антивирус, IPS, Проверка SSL, веб-фильтр, DLP и больше.
При этом я настоятельно рекомендую использовать как минимум какой-то брандмауэр кроме встроенного межсетевого экрана в ОС (если это windows) есть. В общем, разрешить серверу свободный просмотр - не такая уж хорошая практика, конечно, это немного зависит от того, насколько ценна информация на сервере или службах, запущенных на нем.
Говоря о FortiGates (я действительно не знаю Sophos, потому что мы используем только его модуль UTM), даже без подписки вы можете открывать / закрывать определенные порты, пересылать порты и т. Д. Это дает вам большую гибкость для управления между вашими локальными подсети или Интернет, которые IP может разговаривать с кем и т. д. Для блокировки / разрешения определенных URL-адреса однако вам понадобится функция веб-фильтрации (подписка).
Преимущества
Минусы
ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ
Я никоим образом не связан с FortiNet / FortiGate, я просто потребитель, использующий их и довольный ими.
Это действительно зависит от прокси. ТАНСТААФЛ. Если работа прокси-серверов заключается только в том, чтобы действовать как прокси для одного сервера, без дополнительной обработки или функциональности, вам не лучше - а, возможно, и хуже, просто используя брандмауэр ... Но это не полная картина.
У вас есть прокси-сервер, который вы можете использовать для повышения безопасности несколькими способами, включая дополнительные проверки отправляемого и получаемого контента, добавление дополнительной аутентификации и, конечно же, создание невидимого и недоступного для доступа веб-сервера внешний мир - и таким образом, чтобы обеспечить дополнительный уровень безопасности, если все сделано правильно и если это необходимо.
Конечно, преимущества прокси не ограничены (или, на мой взгляд, даже значительно) связаны с безопасностью. Любая безопасность в прокси-сервере будет почти побочным преимуществом для реальных целей, таких как разделение нагрузки, разгрузка https, отработка отказа, кэширование контента, переопределение адресов и объединение нескольких ресурсов.