web-dev-qa-db-ja.com

ポート8080/8443でHTTP / HTTPSを提供しても安全ですか

インフラストラクチャの制限により、HTTPサービスを世界に提供するための提案されたソリューションの1つは、ポート8080および8443で提供することです。

私の懸念は、一部のユーザーが標準ポートで実行されていないためにこれらのサービスにアクセスできず、コンテンツが(たとえば)企業ネットワークポリシーの一部としてフィルターされる可能性があることです。

では、インターネット全体のユーザーがこれらのサービスにアクセスできない可能性はどのくらいありますか?

9
spender

企業ネットワークは通常、次のようなルールにデフォルト設定されます:

deny all; allow 80; allow 443; allow 21; allow 22; etc...

65,535の使用可能なポートの99%を明示的に拒否するよりも、この方法を構成する方がはるかに簡単です。

そうは言っても、ネットワークの制限により、非標準ポートを使用するクライアント向けポータルを引き継ぎました。 NAT=詳細はわかりません。とにかく、これによりユーザー/訪問者の約50%がサイトにアクセスすることが不可能になりました。存在しないITと調整して、許可ルールを実装しようとします。


インフラストラクチャの制限の詳細はわかりませんが、80/443で別のものが実行されていると思います

これに該当する場合は、内部プロキシを使用するか、スイッチをアップグレードして、要求を適切にルーティングできる高度なNAT機能を備えたものにアップグレードします。


TL; DR

すでに標準ポートを持っている公開サービスに非標準ポートを使用しないでください。

7
MonkeyZeus

特に企業ネットワークや公共wifiでは、これらがブロックされる可能性が非常に高くなります。通常の家庭用インターネット接続ではあまりありません。

それは確かに私の仕事のネットワークでブロックされます。

さらに、サイトにアクセスするためにポート番号を入力することを覚えておく必要があります。これは、対処したくない余分な頭痛の種です。内部またはプライベートサイトの場合は大きな問題ではありませんが、これが一般向けの場合は、標準ポートを使用することでより多くの成功を収めることができます。

6
Grant

ブラウザーをヒットさせるのは難しくありません http://example.com:8080/index.html ですが、企業のポリシーについて話すとき、非標準ポートをブロックすることは非常に難しいようです。

ある種のロードバランシングを設定している場合でも、アプリケーションを標準ポートで実行するように設定し、ロードバランサーポートを内部で奇数ポートに転送することができます。ロードバランシングがない場合でも、標準ではない内部ポートにポートフォワードする方法を見つけることができると思います。

内部的に、ユーザーは奇妙なポートにアクセスすることができます(企業のポリシーの一部ではない場合)。外部には http://example.com と表示されます。

これを行うには多くの方法があります。遭遇するロードブロッキングのタイプに応じて、少しクリエイティブにする必要があります。その常に挑戦!

2
Brett Salmiery