Proveedores ASP.Net del servidor web en DMZ

Question

Tenemos una aplicación web asp.net de intranet que utiliza la membresía OOTB ASP.net y proveedores de roles.

Ahora estamos planeando exponer la aplicación a Internet, moviendo el servidor web a la DMZ como se representa en el siguiente diagrama de texto (malo)

             External                    Internal     
internet --- Firewall --- Web server --- Firewall --- App Server --- Database

                             DMZ                              Intranet

Ahora el problema es que la membresía asp.net y los proveedores de roles en el servidor web no pueden conectarse al servidor sql debido al firewall interno.

¿Alguna vez te has enfrentado a ese escenario? ¿Recomendará abrir puertos en el firewall interno para que el servidor web pueda conectarse directamente al servidor SQL? ¿Qué otras alternativas tengo (aparte de escribir un proveedor personalizado yo mismo)?

Answer 1

Cambiar su política de DMZ y abrir puertos suele ser REALMENTE difícil. Es posible que tenga más éxito haciendo lo que hice: exponer un servicio WCF dentro de la red y comunicarse con él a través de HTTP en el puerto 80.

Cero fricción con la gente de LAN, y simplemente imito la misma API exacta (aunque horrible) que .NET nos da :)

Editar: para aclarar, esto significa que tengo un RemoteRoleProvider configurado de esta manera:

<roleManager enabled="true" defaultProvider="RemoteRoleProvider">
   <providers>
      <add name="RemoteRoleProvider" type="MyCorp.RemoteRoleProvider, MyCorp" serviceUrl="http://some_internal_url/RoleProviderService.svc" />
   </providers>
</roleManager>

Answer 2

Tenemos un par de servidores web con conexión a Internet en una DMZ y tuvimos que abrir túneles en nuestro firewall de regreso al servidor SQL en nuestra red privada con la que necesitan interactuar. Creo que usamos algo distinto del puerto 1433 para las conexiones SQL. Hasta ahora ha funcionado bastante bien, es decir, sin infracciones de seguridad.