问反向代理如何改变驻留在DMZ中的web服务器的安全态势？

EN

有几个优点。

如果您的主机位于反向代理后面，您将实现“深度防御”模型。

假设您的web服务器有一个可利用的漏洞，您还没有进行修补。如果您的web服务器在没有反向代理的情况下可以直接访问，则可以利用您的主机漏洞，从而导致web服务器受到损害，并可能使同一子网上的所有其他主机都面临风险。此外，如果您的web服务器需要与数据源(例如数据库)通信，您将使您的数据处于危险之中。

另一方面，如果您的主机处于反向代理的后面，任何受到攻击的漏洞都会使您的反向代理受损，而不是您的“实际”web服务器。这通常是在一个隔离的DMZ和非常有限的访问。

此外，实现反向代理允许您在不耗尽web服务器上的资源的情况下向您的网站添加额外的安全控制。其中包括web应用程序防火墙、HIDS等。在这种情况下，如果需要的话，还可以轻松地实现其他层的身份验证。