Мы используем Windows Server 2008 R2 в виртуальной общедоступной среде. Серверу был предоставлен один IP-адрес, который я, разработчик, использовал в качестве IP-адреса по умолчанию для веб-сайта IIS.
Это лучшая практика? Должны ли IP-адреса сервера и веб-сайта отличаться?
Я намерен использовать только один IP-адрес в заголовках IIS и хоста пользователя для маршрутизации входящего трафика.
Это зависит от того, какие порты открыты, а какие нет.
Я уверен, что существует множество подобных машин, но вы спрашивали о передовых методах, и, конечно же, я думаю, что большинству системных администраторов было бы намного приятнее увидеть два IP-адреса на сетевом адаптере, один для внешнего трафика и один для внутреннего трафика управления - или два разных физических или виртуальных сетевых адаптера. Это не устраняет никаких рисков безопасности, связанных с использованием одного IP-адреса, но помогает снизить риск, и это была бы моя рекомендация вам.
Очень часто веб-сервер имеет только 1 IP-адрес. Адресов IPv4 становится мало, и люди не хотят использовать больше, чем им нужно.
С точки зрения безопасности злоумышленнику немного легче найти другие службы на этой машине, но это не имеет большого значения. Отдельная сетевая карта в другой сети для управления может быть мерой безопасности, но второй IP-адрес в той же сети и интерфейсе - нет.
В любом случае вы хотите убедиться, что вы правильно настроили свой брандмауэр, а также защищенные службы, такие как удаленный рабочий стол - если удаленный рабочий стол открыт для Интернета в целом, он будет подвергаться атакам, и некоторые из них в конечном итоге могут быть успешными.
Одна из причин, по которой вы можете захотеть иметь несколько IP-адресов, заключается в том, что вы используете несколько сайтов HTTPS, поскольку их гораздо проще настроить и лучше поддерживать, если они используют отдельные IP-адреса, а не хостинг на основе имени.