我计划部署一个包含敏感数据的内部应用。我建议我们把它放在一台不暴露在一般互联网上、只暴露在我们的内部网络上的机器上。 I.T.该部门拒绝了这一建议,称为一个应用程序预留一整台机器是不值得的。 (该应用程序有自己的域,以防相关,但我被告知他们不能根据 URL 阻止请求。)
在应用程序内部,我将其编程为仅尊重来自内部 IP 的请求。地址,否则它只会显示一个页面,上面写着“你不能看这个”。我们的内部地址都有不同的模式,所以我正在检查请求的 I.P.针对正则表达式。
但我对这个策略感到紧张。对我来说感觉有点笨拙。这相当安全吗?
最佳答案
IP 过滤总比没有好,但它有两个问题:
IP 地址可能会被欺骗。
如果内部计算机受到损害(包括客户端工作站,例如通过安装特洛伊木马),则攻击者可以将其用作跳转主机或代理来攻击您的系统。
<
如果这确实是敏感数据,则不一定需要专用机器(尽管这是最佳实践),但您至少应该以某种方式对您的用户进行身份验证,并且不要运行不太敏感的(并且更容易受到攻击的)同一台机器上的应用程序。
如果确实敏感,请聘请安全专家来审查您正在做的事情。
编辑:顺便说一句,如果可以的话,放弃正则表达式并使用诸如 tcpwrappers 之类的东西或操作系统中的防火墙功能(如果有的话)。或者,如果您的应用程序可以使用不同的 IP 地址,请使用防火墙阻止外部访问。 (如果您没有防火墙,那么您也可以放弃并将您的数据通过电子邮件发送给攻击者:-)
关于security - IP 地址过滤的安全性如何?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/437146/