一、该问题的重现步骤是什么?
前提场景说明:
目前我们给客户做了一套系统,部署是通过 docker 方式部署的, 但是将前后台分开在两台服务器部署, A服务器只部署了 Saber 前端项目,B服务器部署了所有的 微服务后台
客户要求比较严格,只有A服务器可以对外访问,B服务器不允许对外访问
部署是通过 nginx 代理 api/ 路径的接口到B服务器
现在出现的问题:
客户安全检测报告给出
二、你期待的结果是什么?实际看到的又是什么?
想要实现后台微服务接口能够配置只允许 内网IP白名单进行访问,通过 域名 nginx 代理 的接口路径不允许访问
可以理解为 上图中的路径在浏览器中不可以打开
三、你正在使用的是什么产品,什么版本?在什么操作系统上?
BladeX 2.5.1.RELEASE
Centos 7
四、请提供详细的错误堆栈信息,这很重要。
五、若有更多详细信息,请在下面提供。
对提出这个“安全隐患”的人有点摸不着头脑。你前端开放在外网,用外网ip访问,想要登录,那么后端的接口自然是要能够访问。那问题来了,能够访问到后端接口就算被攻击了?外网访问前端,然后把后端接口给禁用不给访问,那怎么才能登录?
如果只给内网访问,那你前端部署到外网有什么意义呢?干脆全部部署到内网得了,不需要额外配置什么东西。另外这个ip黑白名单到nginx层面做就行了,和微服务没关系的
nginx要做的话很简单,配置加上一个可以访问的ip段就行了。但是你加上后,外网访问如果不是那个ip段照样访问不到,所以为什么要部署到外网呢,干脆全部部署在内网就行啦。
对啊,我也琢磨了好久, 感觉根本就悖论,我觉得最多也就只能做个外网IP白名单, 所以过来看看有没有什么好的解决方案
扫一扫访问 Blade技术社区 移动端
加载中...
苏公网安备 32041102000998号