Ну, файервол на фронтендах точно никто включать/настраивать не будет, они и так находятся в ДМЗ серьезного файервола. Тогда всякий смысл архитектуры фронтенд-бекенд пропадает, ничто мне не мешает просто пробросить порт на файерволе сразу на бекенд. Основной смысл (на мой взгляд) во фронтенде - терминирование tcp-сессий на нём, что исключает низкоуровневые атаки на бекенд, оставляя только атаки на приложение, от которых можно немного прикрыться SSL с аутентификацией, также подумываем над выделенным WAF вдобавок к уже имеющимся средствам защиты.
7 сентября 2009 г. 11:14 пользователь Daniel Podolsky <onokonem@xxxxxxxxx> написал:
Ваша задача решаема на более низких уровнях. Например, с помощью OpenVPN
и редиректа портов.
Да банального порт-форвардера на фронт-енде достаточно.