El servidor proxy inverso actúa como un intermediario para las solicitudes de cliente que buscan recursos en su sitio de ArcGIS Server, agregando características de seguridad adicionales a la implementación del sitio.
ArcGIS Web Adaptor es un componente de software que puede configurar en los servidores de aplicaciones web más comunes. También puede optar por sacar partido de otros servidores web de proxy inverso de terceros.
ArcGIS Web Adaptor o un servidor proxy inverso de terceros se suele configurar en un equipo de servidor web independiente, aunque también es posible situarlos en la misma ubicación que ArcGIS Server.
Para las aplicaciones cliente no hay diferencia entre acceder directamente a los servicios SIG o hacerlo a través del proxy. Sin embargo, como administrador de ArcGIS Server, puede que sea más conveniente utilizar un servidor proxy inverso por alguno de los siguientes motivos:
Acceso a los servicios SIG desde puertos estándar
Si no se utiliza ningún servidor proxy inverso, los clientes se conectarán directamente a ArcGIS Server mediante https://gisserver.domain.com:6443 si tiene configurado HTTPS. No puede cambiar los puertos predeterminados que se utilizan en ArcGIS Server. Si desea que aplicaciones cliente utilicen el puerto estándar 443 respectivamente, deberá configurar un proxy inverso y clientes directos para acceder a servicios a través de él. Por ejemplo, podría configurar el proxy inverso en http://proxy.domain.com/arcgis o en http://proxy.domain.com/myGIS.
Aislar ArcGIS Server detrás del firewall de la organización
Si desea que los servicios y aplicaciones estén públicamente disponibles en Internet, se recomienda que utilice una configuración con servidor proxy web inverso para aislar ArcGIS Server detrás del firewall de su organización. En esta configuración, las solicitudes entrantes desde Internet pasan por un firewall que bloquea todos los puertos salvo el 443. El servidor web proxy inverso recibe la solicitud entrante, se la pasa a ArcGIS Server a través de otro firewall por el puerto 6443 y envía la respuesta al cliente. En el siguiente diagrama se muestra cómo el servidor proxy inverso residiría en una red perimetral, lo que le ayudaría a controlar el acceso a su red interna segura.
Para aprender a integrar un servidor proxy inverso con ArcGIS Server, consulte Utilizar un servidor proxy inverso con ArcGIS Server.
Bloquear el acceso administrativo al sitio
Se puede utilizar un servidor proxy inverso para bloquear el acceso a recursos específicos de su sitio. Por ejemplo, puede configurar el proxy inverso de modo que bloquee el acceso a ArcGIS Server Manager y al Directorio del administrador de ArcGIS Server. Esta es una buena práctica, especialmente si expone sus servicios de ArcGIS Server en Internet.
Si utiliza un servidor proxy inverso de terceros, consulte su documentación específica para bloquear el acceso a todas las solicitudes que traten de acceder a ArcGIS Server Manager (proxy.domain.com/arcgis/manager/) o al Directorio del administrador de ArcGIS Server (proxy.domain.com/arcgis/admin/).
Aunque el acceso administrativo estará bloqueado al acceder al sitio a través del proxy inverso, dicho acceso todavía estará disponible al acceder directamente a ArcGIS Server a través del puerto predeterminado (6443). Deben utilizarse firewalls de forma apropiada para controlar dónde se puede obtener acceso a estos puertos.
Aprovechar las características de su propio servidor web
Los servidores web incluyen muchas características que puede que le convenga aprovechar como parte de la implementación de ArcGIS Server. Si comparte los servicios SIG a través de un servidor proxy inverso, puede aprovechar el registro, el almacenamiento en caché y las características de seguridad del servidor web.
- Autenticación en el nivel web: de manera predeterminada, ArcGIS Server utiliza la autenticación basada en token (que se denomina habitualmente autenticación basada en token de ArcGIS o autenticación en el nivel de SIG). También puede optar por configurar ArcGIS Server con la autenticación en el nivel web. Este método permite a ArcGIS Server delegar la autenticación en su propio servidor web. Si necesita la autenticación en el nivel web, debe utilizar ArcGIS Web Adaptor. La autenticación en el nivel de web no está disponible a través de servidores proxy web inversos de terceros.
- Registro: los registros de ArcGIS Server incluyen información específica de los servicios de ArcGIS Server, por ejemplo, qué operación se ha invocado, el tiempo de ejecución de las llamadas de ArcGIS Server, así como las advertencias y errores desencadenados en su ArcGIS Server. Puede complementar esta información con registros de su servidor web, que proporciona datos que pueden estar ausentes en los registros de ArcGIS Server como, por ejemplo, la dirección IP desde la que se hacen las solicitudes, el agente de usuario, el origen de referencia, etc.
- Otras características: la mayoría de los servidores web le ofrecen opciones para controlar estrictamente las solicitudes y las respuestas. Por ejemplo, puede aplicar reglas de filtrado a las solicitudes entrantes, bloquear el acceso de direcciones IP o nombres de dominio específicos, etc.
Resumen
ArcGIS Web Adaptor o un servidor proxy inverso de terceros es un complemento excelente para las implementaciones en un solo equipo de ArcGIS Server. Ambos proporcionan características de seguridad adicionales. Es muy recomendable que utilice uno de ellos si piensa exponer los servicios SIG en Internet; incluso podría ser necesario en las implementaciones en una intranet, dependiendo de sus requisitos de seguridad.
Ventajas
- Complementa la implementación en un solo equipo con un nivel de seguridad adicional.
Desventajas
- El uso de un servidor proxy inverso puede agregar una sobrecarga en las solicitudes a los servicios de ArcGIS Server. Esto ocurre principalmente cuando se aprovecha la autenticación de nivel web para almacenes de identidades específicos de la organización muy grandes y complejos (grupos anidados o federados).
- No tiene alta disponibilidad; el equipo de ArcGIS Server y el servidor proxy inverso son puntos únicos de fallo si cualquiera de ellos se desconecta. Consulte la implementación en Un solo equipo de alta disponibilidad (activo-pasivo) para obtener más información.