問題タブ [dmz]

次のシナリオで、Web アプリケーション (IIS7 上の Asp.net) の構成に取り組んでいます。

1) DMZ サーバーは、DMZ 環境外でホストされている内部 Web サーバーにすべての要求をリダイレクトするルーティング サーバーとして機能します。代替案がない場合、これは実行可能なオプションですか?

2) 内部 Web サーバーがデータベースに接続し、応答を DMZ サーバーに送信します。

3) Web アプリケーションにアクセスする人は、DMZ サーバーを経由せずに、内部 Web サーバーへの直接 URL を介してアクセスします。

上記のシナリオは実行可能ですか?

DMZ サーバーが通常のサーバーとしてのみ機能するように上記の項目 1 を実装するにはどうすればよいですか? 次の URL に記載されているように、リバース プロキシを実装する必要がありますか

? http://www.iis.net/learn/extensions/url-rewrite- module/reverse-proxy-with-url-rewrite-v2-and-application-request-routing

Web アプリケーションを上記のセットアップにデプロイする際に考慮する必要があること。レポートを実行するために、Crystal レポート ランタイムもインストールされます。DMZ環境は初めてなので、ご容赦ください。ご協力いただきありがとうございます。

これが重複している場合はご容赦ください。答えが見つかりませんでした。

次のネットワーク設定があります

Internal | DMZ | Internet

セキュリティの標準だと思います。

次に、ビジネス ロジックと永続性の両方を持つ内部 WCFサービスを用意します。

データは理想的には DMZ でホストされるべきではないため、最善の解決策は、同じサービスの「ダム」シェルを DMZ に展開し、インターネットとの通信に必要なパラメーターを渡すことだと思います。

次のようになると思います。

Internal | DMZ | Internet WCF_Full <---> | <-- WCF_Thin --> | <----> (Third party)

1. 最善のアプローチは何ですか？

私の解決策は

• WCF_Thinを指すWCF_Fullにサービス参照があります。
• どちらも同一のインターフェイスを使用し、WCF_Thinはメッセージをインターネットに渡すだけです

WCF_Thinを機能させるには、より多くのデータ (構成 + ビジネス メッセージ)をネットワーク経由で渡さなければならないという課題がありました。

2. それは価値のあるトレードオフですか、それとも間違っていますか?

マイクロサービス アーキテクチャ (jhipster) にスプリング ブート アプリケーションをデプロイした後に問題が発生しました。アーキテクチャのプレゼンテーション:

• 保護されたゾーン (ユーザーは Web ブラウザーから使用できません): AdminApp、ServerApp
• DMZ (ユーザーが利用可能): UserApp

AdminApp と UserApp には websocket 実装 (spring-boot-starter-websocket) があります。ServerApp は、イベントを AdminApp/UserApp に送信します。FeignClient ServerApp を使用して、WebSocket イベントをフロントエンドに送信する AdminApp/UserApp から SocketController を呼び出します。

ローカルホストでは正常に動作します。アプリケーションが DMZ なしで 2 つの異なるサーバーにデプロイされている場合も正常に動作します。問題は DMZ で発生します。ServerApp が AdminApp (同じサーバー) にイベントを送信すると動作しますが、ServerApp が UserApp (DMZ を使用する別のサーバー) にイベントを送信すると、エラーが発生します: POST http://UserApp/api/websocket の実行を拒否した接続

Azure の SQL Database Service を使用してデータベースにデータを格納する Web App Service を使用して、Web アプリケーションをホストします。サーバーへのアクセスも仮想マシンも必要ありません。構成を (Paas) Platform as a Service として維持したいと考えています。私の質問は、Web アプリを保護するために Azure で DMZ をセットアップするにはどうすればよいですか? この Web アプリは一般公開され、管理者がデータを更新/追加できる管理セクションが用意されます。

メッセージが内部アプリケーションによって生成されている状況がありますが、メッセージのコンシューマーは企業ネットワークの外部にあります。DMZ で HTTP リバース プロキシを使用するこのシナリオでは、 http(s) トランスポートまたはREST接続のいずれかが機能しますか? そうでない場合、外部の消費者へのゲートウェイとして機能できるブローカーを DMZ に置くことは安全ですか?

インターネットで利用できる DMZ に Web サイトがあります。DMZ サイトを維持するために使用される管理サイトが LAN にあります。機能の 1 つは、DMZ サイトでアクセス可能にする必要があるファイルを追加することです。LAN サイトには、ユーザーがファイルをアップロードできるサイトのセクションがあり、そのファイルは DMZ 上のサイトに保存する必要があります DMZ サーバー上に作成された共有があり、LAN 上のドライブにマップされていますWindows エクスプローラーで LAN から共有上のファイルを直接コピー、移動、および更新できます。ただし、LAN サーバー上の Web サイト内からそこにファイルを保存しようとするたびに、アクセス許可エラーが発生します。

アプリケーション プールに別の ID を使用する必要があると思いますが、何を使用すればよいかわかりません。DMZ コンピューターには、共有への読み取り/書き込みアクセス権を持つローカル ユーザーがいます。そのユーザーを使用して、LAN マシンからドライブをマップしました。そのユーザーをアプリ プールの ID として設定しようとしましたが、うまくいきませんでした。また、同じ名前とパスワードを使用して LAN マシン上にローカル ユーザーを作成し、それを ID として使用しようとしましたが、これも機能しませんでした。

どちらも Windows 2012 マシンです。正しい方向への考えやナッジは素晴らしいでしょう、ありがとう!

デイブ

私たちの環境について説明しましょう：

1. DMZ にはアプリケーション サーバー (MS Windows サーバー) があり、IIS サーバーがあり、ここで ASP.NET アプリケーションが実行されます。
2. LANにDBサーバー（MS SQL ServerとOracle）があります
3. DMZ と LAN の間に Fortinet ファイアウォールがあります。

以前は、DMZ の Windows Server から LAN (物理ケーブル) の MS SQL Server への BYPASS がありました。これには歴史的な理由がありました...

最近、このバイパスを削除し、すべての通信がファイアウォールを通過するようになりました。この瞬間から、次の問題が始まりました。

1) アプリケーションが SQL サーバーと通信しようとすると、次のエラーがランダムに発生します。それは時々起こりました、それはランダムです...時々うまくいきますが、数分後にエラーが発生し、その後再びうまくいきます。FW ログに何も表示されません (または、正確にどこを見ればよいかわかりません)。

2) アプリケーションが Oracle サーバーと通信しようとすると、同様のエラーが発生します。そしてまたランダムに発生…

ASP.NET アプリケーション自体の問題ではないと考えています。この問題は、さまざまなベンダーのすべての ASP.NET アプリケーションに影響します。