> размещение сервера сетке за шлюзом даже со всякими в
> этом шлюзе видами защит не повышает взломоустойчивость сервера
> верно ли я понял?Да, и нет.
1. Повышает, но не настолько чтобы на этом можно было остановиться и считать что сервер защищён.
Древний и дырявый Apache существует не в вакууме, а скорее всего на древней и дырявой ОС. ACCA упростил пример, и негласно предположил что аккуратный админ не только сконфигурировал Apache на отдачу статичного контента, но и прикрыл ВСЕ остальные сервисы, которые могут быть уязвимы. А если админ не такой аккуратный, или требования не позволили окуклить сервер, то в локалке ему всё таки было бы лучше чем в Интернете.
2. Зависит от серера. Если сервис который общается с миром дыряв, то сколько его в локалку не прячь, поломают. Пример, опять таки, тебе привели замечательный.
От себя добавлю, что так бывает и без экзотики вроде Express JS. При мне ставили энтерпразнейший WebSphere в локалку, и высунули одним портом в инет через NAT. Через месяц до него кто-то добрался, и на нас свалились ЧУЖИЕ безопасники, по поводу "чего это ваш сервер наши хосты через VPN сканирует". Было нервно и стыдно.
Если бы админ немного подумал, то выставил бы сервис через обратный прокси, а не через NAT. И не весь сервер включая админку, а только приложение которое должно было быть доступно.
А если бы это передали моей тогдашней команде, то вообще ничего не выставляли бы, а сделали бы VPN тем кому надо было на этот сервер через VPN лазить, т.к. в Интернете той стрёмной хрени делать было совсем нечего.
Не грешите, и не грешимы будете.