用nginx反向代理创建DMZ区,三层安全区划

原创 2014年08月07日 10:31:12

DMZ区域及非军事管理区域,及安全区划。


    三层架构中,网络工程师一般将网络分为三个层次:


    第一层,DMZ区,这里实现了应用的代理功能,


                  -》应用负载;

                       负载均衡的意思,会分发请求,和单点故障消除;

                  -》加速功能;

                      据说这个nginx反向代理比squid的加速还要好。具体的实现原理是将请求的数据缓存起来,在核心层的数据没有变化之前

                      所有的请求都是从缓存中返回,所以加速了应用;

                  -》安全问题;

                      如果这里被攻破了,这里并没有实际的应用数据,所以保护了核心业务;

                  -》过滤ssl,

                       一般这里会把https的,也就是SSL认证的这块用webservers过滤掉,之后将其他应用的端口反向代理过来;

                  -》NAT功能

                       如weblogic是中间件、是不允许将自身的服务端口设置为80或者443的、那么就需要用nginx反向代理过来,要么就使用负载均衡,但负载均衡是需要花钱的,而且还不便宜、据说差不多的都得30W左右。

                      

    第二层,核心层;

            

                  -》这里是真实的物理主机 ,提供对外的服务提供。  这里的策略是只接受从DMZ区域的主机的访问;

                       而这里的nginx主要充当中间件的作用,及提供真实的业务应用服务;

                      最典型的这层里部署的是 IBM websphere[was] \ ORACLE weblogic


    第三层,数据区;

  

                 -》这里是生产数据存储区,这里的策略是仅接受从核心区的请求而且是单向的;


NGINX的反向代理功能及DMZ区域的实现。

     

        nginx的反向代理一方面是可以用作负载,及常说的软负载;另一方面就是访问加速功能;

       这样就可以接受各个端口的请求,如,80,21之后将这些请求转发到真实的物理机器,而在应用防火墙中设置从DMZ到核心区的访问控制策略,

       这样就满足了DMZ区域的缓存和安全需求。

        而且nginx还可以像负载均衡一样,可以做会话保持,如基于来源的,基于cookie的。


       这样做的好处就是即提高了应用的访问速度,又可以增加安全性。




版权声明:本文为博主原创文章,未经博主允许不得转载。

DMZ的配置

进入公司的第一个任务就是配置一个DMZ,鉴于自己完全是个网络小白,接到这个任务的时候真是诚惶诚恐啊。。。 废话不多说,首先规划一下本文的行文思路: DMZ概念简介 在ubuntu环境下配置LAM...

DMZ区的介绍及连接图

DMZ称为“隔离区”,也称“非军事化区”。为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内...

借助SSH反向代理实现在家里远程登录公司电脑(一)

针对这个问题首先要对现实场景做下简要介绍,公司里的电脑可以访问外部网络,但是公司又没开通VPN原则上未提供在家里接入公司电脑的途径,但偶尔会需要在家里接入公司电脑。 本文就是针对这个问题,借助SSH的...
  • hunt5
  • hunt5
  • 2013年08月31日 10:22
  • 8734

什么叫DMZ区?DMZ区有什么作用?应该怎样构建DMZ?

百度百科:DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安...
  • lyonte
  • lyonte
  • 2010年08月03日 17:07
  • 2948

通过Nginx 的反向代理来加强kibana的访问安全

前一篇 Kibana 5.x 加强安全 采用的是官方的x-pack 插件来实现elastic技术栈的相关产品的权限控制。功能不错,也提供了很大的灵活性,不过x-pack并非免费产品;咨询了下licen...
  • choelea
  • choelea
  • 2017年02月26日 11:32
  • 709

使用Nginx实现反向代理

一、代理服务器 1、什么是代理服务器 代理服务器,客户机在发送请求时,不会直接发送给目的主机,而是先发送给代理服务器,代理服务接受客户机请求之后,再向主机发出,并接收目的主机返回的数据,存放在代理...

使用Nginx实现反向代理

一、代理服务器 1、什么是代理服务器 代理服务器,客户机在发送请求时,不会直接发送给目的主机,而是先发送给代理服务器,代理服务接受客户机请求之后,再向主机发出,并接收目的主机返回的数据,存放在代理...

Oracle MFT 12c 快速、灵活的企业文件传输方案

已有文件传输方案的问题 因为丢失或者更糟的情况,暴露了合作伙伴的敏感文件,对企业的业务造成影响?大文件阻塞了系统,使关键业务流程运行缓慢?现有的文件传输解决方案经常会造成文件的丢失或损坏?能否追...

Nginx安装和反向代理配置(安全证书)

Nginx ("engine x") 是一个高性能的HTTP和反向代理服务器,也是一个IMAP/POP3/SMTP服务器。Nginx是由Igor Sysoev为俄罗斯访问量第二的Rambler.r...
  • lhd85
  • lhd85
  • 2016年10月24日 09:20
  • 1172
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:用nginx反向代理创建DMZ区,三层安全区划
举报原因:
原因补充:

(最多只允许输入30个字)