Сторонний специалист по безопасности рекомендует использовать обратный прокси-сервер перед веб-сервером (все размещенные в демилитаризованной зоне) в качестве наилучшей меры безопасности.
Я знаю, что это типичная рекомендуемая архитектура, поскольку она обеспечивает другой уровень безопасности перед веб-приложением для предотвращения хакеров.
Тем не менее, поскольку обратный прокси-сервер активно переключает HTTP между пользователем и внутренним веб-сервером, он не обеспечивает какой-либо меры предотвращения взлома самого веб-сервера. Другими словами, если ваше веб-приложение имеет дыру в безопасности, прокси-сервер не будет обеспечивать какой-либо значимый уровень безопасности.
И учитывая, что риск атаки на веб-приложение намного выше, чем риск атаки на прокси-сервер, действительно ли много выигрывают, если добавить дополнительный блок в середине? Мы не будем использовать какие-либо возможности кэширования обратного прокси-сервера - просто тупой инструмент для перемещения пакетов назад и вперед.
Есть что-то еще, что я здесь скучаю? Неужели инспекция HTTP-пакетов обратного прокси настолько хороша, что может обнаруживать значимые атаки без существенных узких мест в производительности, или это просто еще один пример Security Theater?
Обратный прокси-сервер MS ISA FWIW.