Relay WCF-Dienst

Question

Dies ist eher eine architektonische und Sicherheitsfrage als alles andere. Ich versuche, um zu bestimmen, ob eine vorgeschlagene Architektur notwendig ist. Lassen Sie mich meine Konfiguration erklären.

Wir haben eine Standard-DMZ festgestellt, dass im Wesentlichen zwei Firewalls hat. Eine, die Außenverkleidung ist und die andere, dass eine Verbindung zum internen LAN. Im Folgenden wird beschrieben, wo jede Anwendungsebene wird derzeit ausgeführt werden.

außerhalb der Firewall:
Silverlight-Anwendung

In der DMZ:
WCF-Service (Business Logic & Data Access Layer)

Im Inneren des LAN:
Datenbank

Ich erhalte Eingang, dass die Architektur nicht korrekt ist. Insbesondere wird vorgeschlagen, dass, weil „ein Web-Server ist leicht gehackt“, dass wir einen Relay-Server in der DMZ, dass in Verbindung steht mit einem anderen WCF-Dienst innerhalb des LAN werden kann, die dann mit der Datenbank kommunizieren. Die externe Firewall konfiguriert ist zur Zeit nur auf Port 443 (HTTPS) an den WCF-Dienst zu ermöglichen. Die interne Firewall konfiguriert ist, um SQL-Verbindungen aus dem WCF-Dienst in der DMZ zu ermöglichen.

die offensichtlichen Auswirkungen auf die Leistung zu ignorieren, ich sehe nicht den Sicherheitsvorteil nicht. Ich werde mein Urteil über diesen Vorschlag reservieren verschmutzen die Antworten mit meiner Befangenheit zu vermeiden. Jede Eingabe wird geschätzt.

Danke,
Matt

Answer 1

Das glaube ich die Bemerkungen sind gültig gemacht, und in einem solchen Fall würde ich wahrscheinlich auch versuchen und die Verwendung als viele „Defense-in-depth“ Schichten könnte ich kommen mit.

Plus, die Menge der Arbeit, um dies zu erreichen weniger sein könnte, als Sie hat Angst vor -., Wenn Sie auf .NET 4 sind (oder um es zu bewegen)

könnten Sie verwenden die neue .NET-4 / WCF 4 Routing-Dienst dies ganz einfach zu tun. Als zusätzlicher Vorteil: Sie könnten einen HTTPS-Endpunkt nach außen, sondern von innen aussetzen, könnten Sie netTcpBinding (was viel schneller ist) die interne Kommunikation behandeln

.

Überprüfen Sie heraus, wie einfach es ist, eine .NET-4 Routing-Dienst einzurichten:

• Was in WCF4 Routing Service neu - oder: "Schauen Sie mA: Nur ein Dienst zu reden"
• Erstellen von Routing-Service WCF 4.0, .NET Framework 4.0 und Visual Studio 2010 RC