2

これは何よりもアーキテクチャとセキュリティの問題です。提案されたアーキテクチャが必要かどうかを判断しようとしています。私の構成を説明しましょう。

基本的に 2 つのファイアウォールを持つ標準の DMZ が確立されています。1 つは外向きで、もう 1 つは内部 LAN に接続します。次に、各アプリケーション層が現在実行されている場所について説明します。

ファイアウォールの外側:
Silverlight アプリケーション

DMZ:
WCF サービス (ビジネス ロジックとデータ アクセス層)

LAN内:
データベース

アーキテクチャが正しくないという情報を受け取りました。具体的には、「Web サーバーは簡単にハッキングされる」ため、LAN 内の別の WCF サービスと通信するリレー サーバーを DMZ 内に配置し、それがデータベースと通信することが提案されています。外部ファイアウォールは現在、ポート 443 (https) のみを WCF サービスに許可するように構成されています。内部ファイアウォールは、DMZ 内の WCF サービスからの SQL 接続を許可するように構成されています。

明らかなパフォーマンスへの影響を無視すると、セキュリティ上の利点もわかりません。私の偏見で回答が汚染されるのを避けるために、この提案に対する私の判断は留保します。どんな入力でも大歓迎です。

ありがとう、
マット

4

1 に答える 1

2

私は、発言は有効だと思います。そのような場合、思いつく限り多くの「多層防御」レイヤーを試して使用することもあるでしょう。

さらに、.NET 4 を使用している (またはそれに移行できる) 場合、これを達成するための作業量は、心配しているよりも少なくなる可能性があります。

新しい .NET 4 / WCF 4 ルーティング サービスを使用すると、これを非常に簡単に行うことができます。追加の利点として、HTTPS エンドポイントを外部に公開できますが、内部では netTcpBinding (はるかに高速) を使用して内部通信を処理できます。

.NET 4 ルーティング サービスのセットアップがいかに簡単かを確認してください。

于 2010-05-17T20:26:29.230 に答える