포트 8080/8443을 통해 HTTP / HTTPS를 제공하는 것이 안전합니까

인프라 제한으로 인해 전세계에 HTTP 서비스를 제공하기 위해 제안 된 솔루션 중 하나는 포트 8080 및 8443을 통해 제공하는 것입니다.

내 우려는 일부 사용자는 표준 포트에서 실행되고 있지 않기 때문에 이러한 서비스에 액세스하지 못할 수 있으며 회사 네트워크 정책의 일부로 콘텐츠가 필터링 될 수 있다는 것입니다.

그렇다면 ... 인터넷 사용자가 이러한 서비스에 액세스하지 못할 가능성은 얼마나됩니까?

— 돈 쓰는 사람
소스

포트 80 및 443에 주소를 프록시 할 수 없습니까?

— Froggiz

Azure 클라우드 서비스에서 웹 및 작업자 역할을 사용하고 있습니다. 내가 알 수있는 한 Azure VM으로 전환하지 않으면 다른 컴퓨터에서 두 번째 VIP를 가리킬 수 없습니다. 다른 옵션으로는 전체 프런트 엔드 웹 서버를 프록시로 교체하는 것이 포함되지만 분명히 다른 포트를 사용하면 적은 비용으로이 문제를 해결할 수 있습니다.

— 쓰셨

나는 그런 의미 : azure.microsoft.com/en-us/documentation/articles/...

— Froggiz

여기서 누락 된 것으로 보이는 우려 사항을 해결하고 싶습니다. 당신이 포트를 사용할 수 없다는 사실 80또는 443당신이 공유 서버에서 실행하는 것이 좋습니다 수 있습니다. 그렇다면 다른 사용자가 작업을 중단 한 경우 해당 포트에 바인딩 할 수 있습니다 . 그러면 해당 사용자가 웹 사이트를 가장 할 수 있습니다 (SSL이이를 완화하는 데 도움이 될 수 있음).

— Nathan Osman

@NathanOsman, 그는 사용자 액세스 및 사용자 방화벽에 대해 걱정하고 있다고 생각합니다.

— Pacerier

답변:

회사 네트워크는 일반적으로 다음과 같은 규칙으로 기본 설정됩니다.

deny all; allow 80; allow 443; allow 21; allow 22; etc...

65,535 개의 사용 가능한 포트 중 99 %를 명시 적으로 거부하는 것보다이 방법을 구성하는 것이 훨씬 쉽습니다.

즉, 네트워크 제한으로 인해 비표준 포트를 사용하는 클라이언트 연결 포털을 인수했습니다. NAT 세부 사항을 모른다. 어쨌든 이로 인해 사용자 / 방문자의 약 50 %가 사이트에 액세스 할 수 없었으며이 문제를보고하기 위해 전화를 걸 때마다 존재하지 않는 IT 부서와 협력하여 허용 규칙을 구현하려고 시도해야했습니다.

인프라 제한에 대한 세부 정보를 모르지만 80/443에서 다른 것이 실행되고 있다고 생각합니다.

이 경우 내부 프록시를 사용하거나 고급 NAT 기능이있는 스위치를 업그레이드하여 요청을 적절하게 라우팅 할 수 있습니다.

TL; DR

이미 표준 포트가있는 공용 서비스에는 비표준 포트를 사용하지 마십시오.

— 원숭이
소스

"65,535 개의 사용 가능한 포트 중 99 %를 명시 적으로 거부하는 것보다이 방법을 구성하는 것이 훨씬 쉽습니다." -포트의 99 %를 명시 적으로 거부하더라도 동일한 효과를 나타냅니다.

— user253751

우리는 메인 웹 서버를 사용하여 다른 포트에서 제공되는 서비스에 대한 요청을 프록시 처리했습니다. 다른 서비스는 네트워크 한도에 도달하지 않고 추가 처리 성능을 위해 확장해야하고 요청 및 응답의 크기가 상대적으로 낮기 때문에이 배치는 기본로드 균형 조정 웹 사이트에서 매우 훌륭하게 작동하여 프록시 비용을 쉽게 흡수합니다.

— 쓰셨

@spender 나는 당신이 클라이언트를 향한 비표준 포트를 사용하지 않고 그것을 해결할 수 있다는 것을 알게되어

— 기쁩니다

특히 회사 네트워크 또는 공용 Wi-Fi에서 차단 될 가능성이 큽니다. 일반 가정 인터넷 연결에서는 덜 가능합니다.

내 네트워크에서 확실히 차단되었을 것입니다.

또한 사람들은 사이트에 접속하기 위해 포트 번호를 입력해야한다는 점을 기억해야합니다. 이는 처리하고 싶지 않은 추가 두통입니다. 내부 또는 개인 사이트의 경우 큰 문제는 아니지만 이것이 일반 대중을위한 경우 표준 포트를 사용하면 훨씬 더 많은 성공을 거둘 수 있습니다.

— 부여
소스

문제의 서비스는 브라우저에 입력되지 않습니다. 오히려 일반 포트를 통해 제공되는 리소스에서 지적됩니다. 그러나 내 접근 방식의 신뢰성에 대한 나의 우려는 잘 정당화 된 것 같습니다.

— 쓰셨

왜 차단되는지 설명 할 수 있습니까? 구글 검색 엔진 도구 및 참조에도 문제없이 오랫동안 포트 800을 사용했습니다 ..

— Froggiz

내 직업 중 하나는 shoutcast 스트림을 색인화하는 웹 사이트를 운영하고 있으며 회사 네트워크를 사용하는 일부 사용자가 비표준 포트를 통해 실행되는 스트림을 청취 할 수 없다는 것이 일반적인 불만입니다. 그러나 8080과 8443은 약간 특별 해 보이지만 충분히 특별하지는 않습니다. 800에서 서비스를 실행하면 차단 될 가능성이 큰 "잘 알려진"포트에 속하기 때문에 특히 위험합니다.

— 쓰셨

쉬운 해결책은 서버를 포트 8080/8443과 방화벽에서 NAT / 전달 포트 80/443에서 8080/8443으로 실행하는 것입니다.

— SnakeDoc

@SnakeDoc가 동의, 나는 :-) 내 대답에 프록시 옵션을 포함

— MonkeyZeus

브라우저가 http://example.com:8080/index.html 이라고 말하는 것은 어렵지 않지만 비표준 포트를 차단하는 회사 정책에 대해 이야기 할 때 어려울 수 있습니다.

로드 밸런싱을 설정 한 경우에도 표준 포트에서 실행되도록 애플리케이션을 설정하고로드 밸런서 포트를 홀수 포트로 내부적으로 전달할 수 있습니다. 로드 밸런싱이 없더라도 표준이 아닌 내부 포트로 포트 포워드하는 방법을 찾을 수 있습니다.

내부적으로 사용자는 http://example.com 외부에서 이상한 포트 (회사 정책의 일부가 아닌 경우)에 액세스 할 수 있습니다 .

이를 수행하는 방법에는 여러 가지가 있으며, 발생하는로드 블록 유형에 따라 약간의 창의성을 가져야합니다. 항상 도전입니다!

— 브렛 살미 에리
소스