Да, я тоже так считаю! И отчеты неткрафта я показывал, и приводил внушительный список серьезных контор, которые используют nginx и приводил в пример успешные атаки, которым nginx не подвержен в силу архитектуры - пока дело продвигается не очень.<br>
<br><div class="gmail_quote">21 июля 2009 г. 21:23 пользователь Sergey Shepelev <span dir="ltr"><<a href="mailto:temotor@gmail.com">temotor@gmail.com</a>></span> написал:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
2009/7/21 Бондарец Иван <<a href="mailto:bondarets@gmail.com">bondarets@gmail.com</a>>:<br>
<div class="im">> Спасибо, я так и думал, что это возможно.<br>
> Кстати, я забыл кое-что упомянуть, сейчас работает такая схема:<br>
><br>
> ИНТЕРНЕТ<br>
> |<br>
> файервол (NAT)<br>
> |<br>
> балансировщик (cisco ACE)<br>
> |<br>
> ферма Apache+plugin (+ терминация SSL)<br>
> |<br>
> AppServer (WAS)<br>
><br>
> Терминирование SSL мы планируем переносить на ACE, а ферма апачей остается<br>
> только как "носитель" плагина от айбиэм... Я предлагаю отказаться от апача<br>
> (были случаи успешных атак на исчерпание ресурса серверов - атака типа Slow<br>
> Lori) в пользу nginx, но пока упираюсь во фразу "схема с apache -<br>
> рекомендована IBM, а nginx - не промышленное решение".<br>
<br>
</div>"промышленное решение" - такой же buzzword, как "мы поддерживаем XML".<br>
Если начальнику нужны громкие слова, значит с ним нужно соответственно<br>
работать.<br>
<br>
Да и вобще-то nginx еще какое промышленное решение.<br>
<a href="http://news.netcraft.com/archives/2009/06/17/june_2009_web_server_survey.html" target="_blank">http://news.netcraft.com/archives/2009/06/17/june_2009_web_server_survey.html</a><br>
<div><div></div><div class="h5"><br>
> Подробности работы плагина мне точно неизвестны (я его не внедрял и не<br>
> сопровождаю, я лишь пытаюсь оптимизировать существующую архитектуру под<br>
> реалии современных атак), я тут нашел доку на сайте ibm, сижу втыкаю:<br>
> Understanding the WebSphere Application Server Web server plug-in:<br>
> <a href="http://www.ibm.com/developerworks/websphere/library/techarticles/0310_cocasse/cocasse.html" target="_blank">http://www.ibm.com/developerworks/websphere/library/techarticles/0310_cocasse/cocasse.html</a><br>
> сопровожденцы говорят там якобы какой-то свой протокол, но в доке я такого<br>
> не нашел, там говорится, что это тоже http, но с поддержкой failover и load<br>
> balance.<br>
><br>
><br>
> 21 июля 2009 г. 19:16 пользователь Kostya Alexandrov <<a href="mailto:koticka@mail.ru">koticka@mail.ru</a>><br>
> написал:<br>
>><br>
>> да. установив нужные хидеры, и убрав в вебсфере проверку контрольных сумм<br>
>> от плагина, но оставив плагин включенным.<br>
>><br>
>> Бондарец Иван wrote:<br>
>>><br>
>>> Всем добрый день!<br>
>>> У меня такой вопрос - работал ли кто-нибудь с IBM'овским http_plugin'ом<br>
>>> для Apache? Можно ли отказаться от часто применяемой связки Apache+IBM<br>
>>> http_plugin+Websphere в сторону nginx+websphere? В моем понимании, это<br>
>>> плагин занимается двумя простыми вещами - проксированием запросов к<br>
>>> Websphere и балансировкой между серверами Websphere<br>
>>> (<a href="http://www.ibm.com/developerworks/websphere/library/techarticles/0310_cocasse/cocasse.html" target="_blank">http://www.ibm.com/developerworks/websphere/library/techarticles/0310_cocasse/cocasse.html</a>).<br>
>>> На первый взгляд я не вижу технических проблем отказа от Apache (причина<br>
>>> желания отказа - нерациональное использование apache в качестве<br>
>>> реверс-прокси, как следствие - ДДоС атаки на ресурс сервера), может кто-то<br>
>>> расскажет про возможные подводные камни или их отсутствие? За<br>
>>> балансировочной фермой (несколько серверов с Apache+IBM http_plugin)<br>
>>> находится вебсфера, на которой крутится несколько приложений на разных<br>
>>> портах и с разными URL, по которым плагин раскидывает пользователей, т.е.<br>
>>> например, если клиент идет по адресу <a href="https://server.ru/APP1" target="_blank">https://server.ru/APP1</a> то апач+плагин<br>
>>> этот запрос проксируют на <a href="http://webshpere.lan:1111/APP1" target="_blank">http://webshpere.lan:1111/APP1</a><br>
>>> <<a href="http://webshpere.lan:1234/APP1" target="_blank">http://webshpere.lan:1234/APP1</a>>, если запрос на <a href="https://server.ru/APP2" target="_blank">https://server.ru/APP2</a>,<br>
>>> <<a href="https://server.ru/APP1" target="_blank">https://server.ru/APP1</a>> то проксируется <a href="http://webshpere.lan:2222/APP2" target="_blank">http://webshpere.lan:2222/APP2</a><br>
>>> <<a href="http://webshpere.lan:1234/APP1" target="_blank">http://webshpere.lan:1234/APP1</a>> на и так далее - несколько разных<br>
>>> приложений.<br>
>>> Возможно ли такую же схему реализовать средствами nginx?<br>
>><br>
><br>
><br>
><br>
> --<br>
> С уважением,<br>
> Бондарец Иван Григорьевич<br>
><br>
><br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br>С уважением,<br>Бондарец Иван Григорьевич<br><br>