Zewnętrzny specjalista ds. Bezpieczeństwa zaleca, aby uruchomić odwrotne proxy przed serwerem WWW (wszystkie hostowane w strefie DMZ) jako najlepszy środek bezpieczeństwa.
Wiem, że jest to typowa zalecana architektura, ponieważ zapewnia kolejny poziom bezpieczeństwa przed aplikacją internetową, aby zapobiec hakerom.
Ponieważ jednak odwrotne proxy wesoło przesyła HTTP tam iz powrotem między użytkownikiem a wewnętrznym serwerem WWW, nie zapewni żadnego środka zapobiegającego włamaniu na sam serwer WWW. Innymi słowy, jeśli Twoja aplikacja internetowa ma lukę w zabezpieczeniach, serwer proxy nie zapewni żadnej znaczącej ochrony.
A biorąc pod uwagę, że ryzyko ataku na aplikację internetową jest znacznie wyższe niż ryzyko ataku na serwer proxy, czy naprawdę można wiele zyskać, dodając dodatkowe pole w środku? Nie używalibyśmy żadnej funkcji buforowania odwrotnego proxy - tylko głupie narzędzie do przesyłania pakietów tam iz powrotem.
Czy brakuje mi czegoś jeszcze? Czy inspekcja pakietów HTTP z odwrotnym proxy jest tak dobra, że może wykrywać znaczące ataki bez poważnych wąskich gardeł wydajności, czy to tylko kolejny przykład Security Theatre?
Odwrotnym proxy jest MS ISA fwiw.
źródło