限制IP地址应该在哪里处理？

Question

我们在应用程序层前面运行反向代理，我想知道处理 IP 限制的“最佳实践”位置在哪里。

目前，我们使用应用程序安全性来限制通过 IP 地址对特定资源的访问，但是当我们转向在反向代理后面运行时，这会导致一些问题。 在代理而不是应用程序上配置允许/拒绝规则非常容易，但由于我们在代理后面运行多个应用程序，对配置进行修改有可能影响其他应用程序（不是一个巨大的危险，但仍然存在） 。

过滤器是放在链的更上游还是更靠近应用程序更好？

是否存在任何问题，就像我们在执行应用程序限制和添加反向代理（其中所有请求“来自”代理）时遇到的问题一样，迫使我们使用标头来查找“真实”IP 地址。

Answer 1

我们尽早过滤并使其远离应用程序； 这类事情可以通过网络运营更好地管理。 原因是应用程序开发人员或维护人员在更改 IP 地址时并不总是参与其中，而网络操作人员通常是第一个知道的。 此外，网络类型工具通常比软件级工具更擅长提供/限制访问。

Answer 2

我永远不会通过IP地址进行限制。 此类限制是安全层的工作，而不是 IP 地址所在的网络层的工作。 我很少发现应用程序限制网络的实现有什么价值。

Answer 3

这取决于需要受IP限制的资源类型。 如果应用程序的某些部分需要通过 IP 进行限制，那么应用程序应该处理它。 如果需要阻止整个应用程序，那么您应该位于链的更上游。

一般规则是在不损害您现有的任何审核系统的情况下尽早进行限制（了解人们何时试图破坏您的安全系统几乎总是一个好主意）。

Answer 4

我尽早通过 IP 地址进行限制 - 这消除了后续层或子网中不必要的流量。 所以我的建议与 u07ch 的建议类似，尽早做。