ポート8080/8443でHTTP / HTTPSを提供しても安全ですか
インフラストラクチャの制限により、HTTPサービスを世界に提供するための提案されたソリューションの1つは、ポート8080および8443で提供することです。
私の懸念は、一部のユーザーが標準ポートで実行されていないためにこれらのサービスにアクセスできず、コンテンツが(たとえば)企業ネットワークポリシーの一部としてフィルターされる可能性があることです。
では、インターネット全体のユーザーがこれらのサービスにアクセスできない可能性はどのくらいありますか?
企業ネットワークは通常、次のようなルールにデフォルト設定されます:
deny all; allow 80; allow 443; allow 21; allow 22; etc...
65,535の使用可能なポートの99%を明示的に拒否するよりも、この方法を構成する方がはるかに簡単です。
そうは言っても、ネットワークの制限により、非標準ポートを使用するクライアント向けポータルを引き継ぎました。 NAT=詳細はわかりません。とにかく、これによりユーザー/訪問者の約50%がサイトにアクセスすることが不可能になりました。存在しないITと調整して、許可ルールを実装しようとします。
インフラストラクチャの制限の詳細はわかりませんが、80/443で別のものが実行されていると思います
これに該当する場合は、内部プロキシを使用するか、スイッチをアップグレードして、要求を適切にルーティングできる高度なNAT機能を備えたものにアップグレードします。
TL; DR
すでに標準ポートを持っている公開サービスに非標準ポートを使用しないでください。
特に企業ネットワークや公共wifiでは、これらがブロックされる可能性が非常に高くなります。通常の家庭用インターネット接続ではあまりありません。
それは確かに私の仕事のネットワークでブロックされます。
さらに、サイトにアクセスするためにポート番号を入力することを覚えておく必要があります。これは、対処したくない余分な頭痛の種です。内部またはプライベートサイトの場合は大きな問題ではありませんが、これが一般向けの場合は、標準ポートを使用することでより多くの成功を収めることができます。
ブラウザーをヒットさせるのは難しくありません http://example.com:8080/index.html ですが、企業のポリシーについて話すとき、非標準ポートをブロックすることは非常に難しいようです。
ある種のロードバランシングを設定している場合でも、アプリケーションを標準ポートで実行するように設定し、ロードバランサーポートを内部で奇数ポートに転送することができます。ロードバランシングがない場合でも、標準ではない内部ポートにポートフォワードする方法を見つけることができると思います。
内部的に、ユーザーは奇妙なポートにアクセスすることができます(企業のポリシーの一部ではない場合)。外部には http://example.com と表示されます。
これを行うには多くの方法があります。遭遇するロードブロッキングのタイプに応じて、少しクリエイティブにする必要があります。その常に挑戦!