Provider ASP.Net dal server Web in DMZ

Question

Abbiamo un'applicazione web asp.net intranet che utilizza l'appartenenza OOTB ASP.net e i provider di ruoli.

Ora stiamo pianificando di esporre l'applicazione a Internet, spostando il web server nella DMZ come rappresentato nel seguente diagramma di testo (scadente)

             External                    Internal     
internet --- Firewall --- Web server --- Firewall --- App Server --- Database

                             DMZ                              Intranet

Ora il problema è che l'appartenenza a asp.net e i provider di ruoli sul server web non possono connettersi al server sql a causa del firewall interno.

Hai mai affrontato uno scenario del genere prima d'ora? Consiglieresti di aprire le porte nel firewall interno in modo che il server web possa connettersi direttamente al server SQL? Quali altre alternative ho (altro che scrivere un fornitore personalizzato)?

Answer 1

La modifica dei criteri DMZ e l'apertura delle porte sono generalmente DAVVERO difficili. Potresti avere un successo migliore facendo quello che ho fatto: esporre un servizio WCF all'interno della rete e comunicare con esso su HTTP sulla porta 80.

Zero attriti con la gente della LAN, e imito solo la stessa API esatta (anche se scadente) che .NET ci offre :)

Modifica: per chiarire, questo significa che ho un RemoteRoleProvider configurato in questo modo:

<roleManager enabled="true" defaultProvider="RemoteRoleProvider">
   <providers>
      <add name="RemoteRoleProvider" type="MyCorp.RemoteRoleProvider, MyCorp" serviceUrl="http://some_internal_url/RoleProviderService.svc" />
   </providers>
</roleManager>

Answer 2

Abbiamo un paio di server Web con connessione Internet in una DMZ e abbiamo dovuto aprire tunnel nel nostro firewall per tornare al server SQL nella nostra rete privata con cui devono interagire. Penso che abbiamo usato qualcosa di diverso dalla porta 1433 per le connessioni SQL. Finora ha funzionato abbastanza bene, cioè senza violazioni della sicurezza.