2013-10-25 152 views
1

我們開發了一個RESTful Web服務,它需要訪問網絡共享才能讀取和寫入文件。這是一個面向公衆的Web服務(通過SSL運行),它要求工作人員使用分配的用戶名和密碼進行登錄。從Web服務安全地訪問Windows網絡共享

此Web服務將在DMZ中運行。從DMZ訪問網絡共享似乎並不「正確」。我會冒險猜測,這樣做的「安全」方式將提供,其中只有與我們的Web服務交談。這樣,如果有人想利用它,他們將不得不通過Web服務找到一種方法,而不是通過已知的系統API。

我的解決方案「正確」嗎?有沒有更好的辦法?

注:

  • Web服務確實IIS下運行。
  • Web服務當前運行在可訪問網絡共享和訪問SQL數據庫的帳戶下。
  • Web服務僅適用於指定人員,而不是公衆。
  • 我是一名開發人員,而不是IT專業人員。

回答

0

怎麼樣某種vpn使用內部資源?有一些漂亮的解決方案,開放網絡共享網絡似乎有太大的風險。除此之外,當攻擊者使用這些Web服務闖入您的DMZ主機時,他可以使用相同的API打入您的內部服務器,除非您有能力創建兩個完全不同的解決方案。

當直接從DMZ訪問文件服務器時,您可以使用防火牆限制這些連接,所以即使在打破DMZ主機之後,攻擊者也無法做到「一切」,只能讀取(寫入?)這些服務器。

我建議#2