Где следует обрабатывать ограничение IP-адреса?

Question

Мы запускаем обратный прокси-сервер перед нашим уровнем приложений, и мне интересно, где находится «наилучшая практика» для обработки ограничения IP.

В настоящее время мы используем безопасность приложения для ограничения доступа к определенным ресурсам по IP-адресу, но это вызвало некоторые проблемы, когда мы перешли на работу за обратным прокси-сервером. Настроить правила «разрешить / запретить» на прокси-сервере, а не в приложении, довольно просто, но поскольку мы запускаем несколько приложений за прокси-сервером, внесение изменений в конфигурацию может оказать влияние на другое приложение (не большая опасность, но все же присутствует) .

Лучше сделать фильтр дальше по цепочке или ближе к приложению?

Есть ли какие-то ошибки, например, то, с чем мы столкнулись, выполнив ограничение приложения и добавив обратный прокси, где все запросы «исходят» от прокси, заставляя нас использовать заголовок для поиска «реального» IP-адреса.

Answer 1

Мы фильтруем как можно раньше и держим его подальше от приложения; Подобные вещи лучше управляются сетевыми операциями. Причина в том, что разработчики или сопровождающие приложения не всегда находятся в цикле при изменении ip-адресов, и люди из сети обычно первыми узнают об этом. Также инструменты сетевого типа обычно лучше предоставляют / ограничивают доступ, чем инструменты уровня программного обеспечения.

Answer 2

Я бы никогда не ограничился по IP адресу. Подобные ограничения - это работа уровня безопасности, а не сетевого уровня, где живут IP-адреса. Я редко нахожу ценность в том, чтобы Приложение ограничивало реализацию Сети.

Answer 3

Это зависит от типа ресурсов, которые должны быть ограничены IP. Если части приложения должны быть ограничены через IP, тогда приложение должно обрабатывать это. Если нужно заблокировать все приложение, вы должны быть дальше по цепочке.

Общее правило - ограничивать как можно раньше, не ставя под угрозу любые имеющиеся у вас системы аудита (почти всегда полезно знать, когда люди пытаются взломать вашу систему безопасности).

Answer 4

Я ограничиваюсь по IP-адресам как можно раньше - это устраняет ненужный трафик в следующих слоях или подсетях. Так что мой совет похож на u07ch, делайте это как можно раньше.