it-swarm.com.de

Ist es sicher, HTTP / HTTPS über die Ports 8080/8443 bereitzustellen?

Aufgrund einer Infrastrukturbeschränkung besteht eine der vorgeschlagenen Lösungen für die Bereitstellung eines HTTP-Dienstes für die Welt darin, ihn über die Ports 8080 und 8443 anzubieten.

Ich befürchte, dass einige Benutzer möglicherweise nicht auf diese Dienste zugreifen können, weil sie nicht auf Standardports ausgeführt werden und der Inhalt möglicherweise (beispielsweise) im Rahmen der Unternehmensnetzwerkrichtlinie gefiltert wird.

Also ... wie wahrscheinlich ist es, dass ein Benutzer aus dem Internet insgesamt nicht auf diese Dienste zugreifen kann?

9
spender

Unternehmensnetzwerke verwenden normalerweise die folgenden Regeln:

deny all; allow 80; allow 443; allow 21; allow 22; etc...

Es ist viel einfacher, auf diese Weise zu konfigurieren, als 99% der 65.535 verfügbaren Ports explizit zu verweigern.

Vor diesem Hintergrund habe ich ein Client-Portal übernommen, das aufgrund von Netzwerkbeschränkungen einen nicht standardmäßigen Port verwendet hat. Ich kenne die Details nicht NAT Details. Auf jeden Fall war dies für etwa 50% unserer Benutzer/Besucher unmöglich, auf die Website zuzugreifen, und wann immer sie uns anrufen würden, um dieses Problem zu melden, müssten wir dies tun Koordinieren Sie mit der nicht vorhandenen IT, um zu versuchen, eine Zulassungsregel zu implementieren.


Ich kenne die Details Ihrer Infrastrukturbeschränkungen nicht, aber ich würde mir vorstellen, dass auf 80/443 etwas anderes läuft

Wenn dies der Fall ist, besteht Ihre einzige Möglichkeit möglicherweise darin, einen internen Proxy zu verwenden oder den Switch auf etwas mit erweiterten NAT -Funktionen) zu aktualisieren, mit denen die Anforderungen entsprechend weitergeleitet werden können.


TL; DR

Verwenden Sie keinen nicht standardmäßigen Port für öffentlich zugängliche Dienste, die bereits über einen Standardport verfügen.

7
MonkeyZeus

Es ist sehr wahrscheinlich, dass diese blockiert werden, insbesondere in Unternehmensnetzwerken oder im öffentlichen WLAN. Weniger wahrscheinlich bei einer normalen Internetverbindung zu Hause.

Es würde sicherlich in meinem Arbeitsnetzwerk blockiert sein.

Darüber hinaus müssen die Benutzer daran denken, die Portnummer einzugeben, um zu Ihrer Site zu gelangen. Dies ist ein zusätzliches Problem, mit dem Sie sich nicht befassen möchten. Für interne oder private Sites ist dies kein großes Problem, aber wenn dies für die breite Öffentlichkeit ist, werden Sie mit den Standardports viel mehr Erfolg haben.

6
Grant

Es ist nicht schwer, Ihren Browser dazu zu bringen, http://example.com:8080/index.html zu sagen, aber wenn Sie über Unternehmensrichtlinien sprechen, die nicht standardmäßige Ports blockieren, scheint dies äußerst schwierig zu sein.

Wenn Sie eine Art Lastausgleich eingerichtet haben, können Sie Ihre Anwendungen dennoch so einrichten, dass sie auf einem Standardport ausgeführt werden, und den Lastausgleichsport intern an den ungeraden Port weiterleiten. Selbst wenn Sie keinen Lastausgleich haben, können Sie sicher einen Weg finden, um auf einen internen Port weiterzuleiten, der nicht dem Standard entspricht.

Intern können Benutzer auf einen ungeraden Port zugreifen (wenn dies nicht Teil Ihrer zu blockierenden Unternehmensrichtlinie ist). Extern sehen sie http://example.com .

Es gibt viele Möglichkeiten, dies zu tun. Je nach Art der Straßensperren müssen Sie ein wenig kreativ werden. Es ist immer eine Herausforderung!

2
Brett Salmiery