0

これが重複している場合はご容赦ください。答えが見つかりませんでした。

次のネットワーク設定があります

Internal | DMZ | Internet

セキュリティの標準だと思います。

次に、ビジネス ロジックと永続性の両方を持つ内部 WCFサービスを用意します。

データは理想的には DMZ でホストされるべきではないため、最善の解決策は、同じサービスの「ダム」シェルを DMZ に展開し、インターネットとの通信に必要なパラメーターを渡すことだと思います。

次のようになると思います。

Internal | DMZ | Internet WCF_Full <---> | <-- WCF_Thin --> | <----> (Third party)

  1. 最善のアプローチは何ですか?

私の解決策は

  • WCF_Thinを指すWCF_Fullにサービス参照があります。
  • どちらも同一のインターフェイスを使用し、WCF_Thinはメッセージをインターネットに渡すだけです

WCF_Thinを機能させるには、より多くのデータ (構成 + ビジネス メッセージ)をネットワーク経由で渡さなければならないという課題がありました。

  1. それは価値のあるトレードオフですか、それとも間違っていますか?
4

1 に答える 1

1

1) 「最善のアプローチ」は主観的であり、常にコンテキストに依存します

2) あなたが説明したようにそれが行われたのを見ましたが、外部から開始されたトラフィックに対してのみです。DMZ はサービスの「リレー」バージョンをホストし、説明したように、トラフィックをフル バージョンに単純に渡しました。私たちの場合、フル バージョンは「内部」ネットワークでホストされ、データ ストアにアクセスしてチェーンに戻しました。ただし、内部で開始されたトラフィックに対してこれを行う必要がある理由はわかりません。

この「リレー」ソリューションはかなりの複雑さを追加したため、最終的には、単純ではありますが基本的に同じことを行うアプリケーション層ゲートウェイ (ALG) に置き換えました。ALG はトラフィックをフル バージョンのサービスにプロキシし、「リレー」バージョンは廃止されました。「アプリケーション層ゲートウェイ」をグーグルで検索すると、たくさんの情報が見つかります。

外部に向けて内部で開始されたコールに対しても、同じプロキシを実行できます。ベンダーのサービスをロードしたくない、または通話ごとに支払う負荷テスト シナリオを検討してください。これを支援するために、メッセージの署名を認識するように ALG をセットアップし、任意の方法で応答できるようにすることができます。

HTH

于 2016-06-30T14:35:08.683 に答える