質問

これは、他の何よりも建築的およびセキュリティの質問です。提案されたアーキテクチャが必要かどうかを判断しようとしています。私の構成を説明させてください。

基本的に2つのファイアウォールがあることを確立した標準のDMZがあります。 1つは外部に面し、もう1つは内部LANに接続します。以下は、各アプリケーション層が現在実行されている場所を説明しています。

ファイアウォールの外:
シルバーライトアプリケーション

DMZで:
WCFサービス(ビジネスロジックとデータアクセスレイヤー)

LAN内:
データベース

アーキテクチャが正しくないという入力を受けています。具体的には、「Webサーバーが簡単にハッキングされる」ため、LAN内の別のWCFサービスと通信してデータベースと通信するリレーサーバーをDMZ内に配置する必要があることが示唆されています。現在、外部ファイアウォールは、WCFサービスにポート443(HTTPS)のみを許可するように構成されています。内部ファイアウォールは、DMZのWCFサービスからSQL接続を許可するように構成されています。

明らかなパフォーマンスへの影響を無視して、セキュリティ利益も見られません。私は、私の偏見で答えを汚染しないように、この提案の私の判断を留保します。どんな入力も感謝しています。

ありがとう、
マット

役に立ちましたか?

解決

行われた発言は有効であると思いますが、そのような場合、私はおそらく私が思いつく可能性のある「詳細な防衛」レイヤーを使用しようとするでしょう。

さらに、これを達成するための作業の量は、あなたが恐れているよりも少ないかもしれません - あなたが.NET 4にいる場合(またはそれに移動することができます)。

新しい.NET 4 / WCF 4ルーティングサービスを使用して、これを非常に簡単に行うことができます。追加の利点として:HTTPSエンドポイントを外の世界に公開することができますが、内部では、内部通信を処理するためにnettcpbinding(これははるかに速い)を使用できます。

.NET 4ルーティングサービスをセットアップするのがどれほど簡単かを確認してください。

ライセンス: CC-BY-SA帰属
所属していません StackOverflow
scroll top