2010-05-17 100 views
2

這是一個比其他任何問題更多的架構和安全問題。我試圖確定建議的架構是否必要。讓我解釋一下我的配置。繼電器WCF服務

我們有一個標準的DMZ,它基本上有兩個防火牆。一個是面向外部的,另一個是連接到內部局域網。以下描述了每個應用程序層當前正在運行的位置。

防火牆外:
Silverlight應用程序

在DMZ:
WCF服務(業務邏輯&數據訪問層)

局域網內部:
數據庫

我收到有關體系結構不正確的意見。具體而言,有人提出,因爲「一個Web服務器很容易被黑客入侵」,我們應該在DMZ內部放置一箇中繼服務器,該DMZ與局域網內的另一個WCF服務進行通信,然後與該數據庫進行通信。外部防火牆當前配置爲只允許端口443(https)到WCF服務。內部防火牆配置爲允許來自DMZ中WCF服務的SQL連接。

忽略了明顯的性能影響,我也沒有看到安全性好處。我將保留我對這一建議的判斷,以避免我的偏見污染答案。任何輸入讚賞。

感謝,
馬特

回答

2

我認爲作出上述表示是有效的,而在這種情況下,我可能會也嘗試使用盡可能多的「防禦縱深」圖層我可能拿出。如果你使用的是.NET 4(或者可以移動到它),那麼實現它的工作量可能會比你害怕的要少。

您可以使用新的.NET 4/WCF 4路由服務輕鬆完成此操作。作爲一個額外的好處:你可以向外界公開一個HTTPS端點,但在內部,你可以使用netTcpBinding(它快很多)來處理內部通信。

退房多麼容易建立一個.NET 4路由服務:

+0

非常感謝!我會檢查鏈接。 – 2010-05-17 21:32:02