Wir führen einen Reverse-Proxy vor unserer Anwendungsebene und ich frage mich, wo der "Best Practice" Platz für die Handhabung der IP-Beschränkung ist.Wo sollte die Beschränkung der IP-Adresse gehandhabt werden?
Derzeit verwenden wir die Anwendungssicherheit, um den Zugriff auf bestimmte Ressourcen über die IP-Adresse zu beschränken. Dies hat jedoch einige Probleme verursacht, als wir zur Ausführung hinter einem Reverse-Proxy übergingen. Es ist ziemlich einfach, die Regeln für Zulassen/Verweigern auf dem Proxy anstelle der Anwendung zu konfigurieren, aber da wir mehrere Anwendungen hinter dem Proxy ausführen, können Änderungen an der Konfiguration Auswirkungen auf andere Anwendungen haben (keine große Gefahr, aber immer noch vorhanden) .
Ist es besser, den Filter weiter oben in der Kette oder näher an der Anwendung zu betreiben?
Gibt es irgendwelche Probleme, wie wir bei der Anwendungsbeschränkung aufgetreten sind und einen Reverse-Proxy hinzufügen, wo alle Anfragen "kommen" von dem Proxy, zwingen uns, eine Kopfzeile zu verwenden, um die "echte" IP-Adresse zu finden.
Wie wird Ihre Anwendung gehostet? Eigene Server? Co-Lo? Rackspace? Bei meiner letzten Firma haben wir Rackspace verwendet und nur eine Anfrage an sie gesendet, um IPs auf Netzwerkebene einzuschränken. –
Derzeit werden wir in einer Co-Location gehostet. Wir sind gerade dabei, in die EC2-Umgebung von Amazon zu wechseln. Wir sind nicht auf der Suche nach IP-Einschränkungen auf Netzwerkebene, da manchmal nur bestimmte Ressourcen durch die IP-Adresse eingeschränkt werden müssen. – ahanson