У меня только что была интересная встреча с парнями из службы безопасности, и основная мысль этой встречи, которую я хотел бы иметь под собой, это:
Apache безопасен, потому что ему нужны только порты 80 и 443 (для доступа по http и https). IIS потребуется гораздо больше портов, открытых для клиента, потому что ему также нужны DNS и другие вещи.
Это звучит очень подозрительно, и не поймите меня неправильно: мне нравится apache так же, как мне нравится IIS, но я не эксперт по брандмауэрам и конфигурации сети: мне нужно несколько мнений по этому поводу.
Чтобы получить ответы, просто используйте новейшие версии apache и IIS.
Нет никакой причины, по которой сервер IIS ДОЛЖЕН иметь больше открытых портов, чем сервер Apache. На самом деле, возможно, у него будет больше портов, которые вы МОЖЕТЕ открыть между ним и серверами за ним (AD и т. Д.), Но если бы у вас были передний и задний интерфейсы, вы бы все равно открывали их только сзади, что делает IIS таким же способен работать с 80/443 на передних портах как apache.
Как уже упоминалось, одному HTTP-серверу (IIS / Apache) не нужно больше открытых портов, чем другому. То, что они сбивают с толку / запутывает, находится ниже HTTP-сервера. Windows, присоединенная к домену Active Directory, очень зависит от DNS.
Схема расположения серверов по отношению к межсетевым экранам может помочь. Похоже, что веб-сервер должен быть общедоступным. Если это так, то находится ли это в DMZ?
Впрочем, я согласен с остальными. Не должно быть причин, по которым вам нужно раскрывать публике более 80/443 в любой ситуации.
Редактировать:
В вашей демилитаризованной зоне, если окно Windows необходимо присоединить к домену AD и в демилитаризованной зоне нет контроллера домена (которого, как я предполагаю, нет), тогда необходимо будет открыть дополнительные порты для связи с DNS и ОБЪЯВЛЕНИЕ.
Я не бог * nix, но если для Apache происходит какая-либо центральная аутентификация, я думаю, что это также будет так. Возможно, это уже было настроено, и они настаивают на использовании существующей конфигурации.
Итог: утверждение, что IIS требует открытия дополнительных портов, просто неверно. Всем базовым службам МОЖЕТ быть необходимо открыть больше портов, но это полностью зависит от того, как веб-приложение будет работать и как им управлять. Для обычных HTTP-сервисов все, что нужно - это стандартные порты 80/443.
У меня такое чувство, что ваши охранники скармливают вам груз. У меня открыты только порты 80/443 на передней панели моего сервера, и у меня нет никаких проблем.