這是一個比其他任何問題更多的架構和安全問題。我試圖確定建議的架構是否必要。讓我解釋一下我的配置。繼電器WCF服務
我們有一個標準的DMZ,它基本上有兩個防火牆。一個是面向外部的,另一個是連接到內部局域網。以下描述了每個應用程序層當前正在運行的位置。
防火牆外:
Silverlight應用程序
在DMZ:
WCF服務(業務邏輯&數據訪問層)
局域網內部:
數據庫
我收到有關體系結構不正確的意見。具體而言,有人提出,因爲「一個Web服務器很容易被黑客入侵」,我們應該在DMZ內部放置一箇中繼服務器,該DMZ與局域網內的另一個WCF服務進行通信,然後與該數據庫進行通信。外部防火牆當前配置爲只允許端口443(https)到WCF服務。內部防火牆配置爲允許來自DMZ中WCF服務的SQL連接。
忽略了明顯的性能影響,我也沒有看到安全性好處。我將保留我對這一建議的判斷,以避免我的偏見污染答案。任何輸入讚賞。
感謝,
馬特
非常感謝!我會檢查鏈接。 – 2010-05-17 21:32:02