Реле WCF Сервис
-
27-09-2019 - |
Вопрос
Это скорее архитектурный и безопасный вопрос, чем все остальное. Я пытаюсь определить, необходим ли предложенная архитектура. Позвольте мне объяснить мою конфигурацию.
У нас есть стандартный DMZ, который по существу имеет два брандмауэра. Тот, который внешний облицовочный, а другой, который соединяется с внутренней локальной локальной лоткой. Ниже описано, когда каждый уровень приложения работает в данный момент.
За пределами брандмауэра:
Приложение Silverlight
В ДМЗ:
WCF SERVICE (бизнес логика и уровень доступа к данным)
Внутри локальной сети:
База данных
Я получаю вход, что архитектура не правильная. В частности, было предложено, что потому, что «веб-сервер легко взломается», что мы должны разместить сервер ретрансляции внутри DMZ, который связывается с другой службой WCF внутри локальной сети, которая затем свяжется с базой данных. Внешний брандмауэр в настоящее время сконфигурирован только для разрешения Port 443 (HTTPS) в службу WCF. Внутренний брандмауэр настроен для разрешения подключений SQL из службы WCF в DMZ.
Игнорирование очевидных последствий производительности, я тоже не вижу пользу безопасности. Я собираюсь забронировать свое мнение об этом предложении, чтобы избежать загрязнения ответов с моим предвзятом. Любой вклад ценится.
Спасибо,
Матовый
Решение
Я думаю, что замечания действительны, и в таком случае я, вероятно, также попробую использовать столько слоев «Defense», которые я мог бы придумать.
Кроме того, объем работы для достижения этого может быть меньше, чем вы боитесь - если вы находитесь на .NET 4 (или можете перейти к нему).
Вы можете использовать новую услугу маршрутизации .NET 4 / WCF 4, чтобы сделать это довольно легко. В качестве дополнительной выгоды: вы могли бы разоблачить конечную точку HTTPS на внешний мир, но внутри, вы можете использовать NettCPBINDING (что намного быстрее) для обработки внутренних коммуникаций.
Проверьте, насколько легко установить услугу маршрутизации .NET 4: