Nella mia topologia ho un'area protetta dove sono tutti i server. C'è anche una DMZ con alcuni server proxy inversi. Ora devo rendere aperto uno dei server nell'area protetta per effettuare chiamate HTTP a Internet (verso uno specifico indirizzo IP).
Posso pensare a due possibili implementazioni:
Quale modo preferirebbe?
Un proxy normale (noto anche come proxy diretto) è un servizio di infrastruttura. Voglio dire, è un servizio "da qualche parte sotto" il tuo cliente / servizio commerciale. Proprio come il DNS interno o il monitoraggio o iLO / iDRAC.
Quanta separazione è necessaria al mondo ostile? Molta vulnerabilità appare nel punto in cui i vostri sistemi ascoltano. Gestiscilo prima, pensa ad altri motivi più tardi.
Consentire a un proxy normale di ascoltare le richieste di DMZ aggiunge rischi. Dal momento che il costo finanziario non cambia molto, direi di inserirlo più a fondo.
Deeper potrebbe significare nel segmento dei server di applicazioni Web, ma sarebbe meglio posizionarlo in un segmento infrastrutturale separato (a seconda del costo).
Dopo aver risolto la parte listener, ora la parte del connettore. Ne consegue che puoi "tunnel a livello di router", che è probabilmente meglio conosciuto come "instradare quel traffico".