目前,我的僱主在3臺服務器上部署了一個Web應用程序。是否使用Web服務公開.NET DAL添加安全性?
- DB - 沒有大衆路線
- Web服務DAL - 沒有大衆路線
- Web服務器 - 大衆路線
這樣做的原因是該理論認爲,如果Web服務器被攻破,他們不直接到達數據庫,而是到達DAL框。
在我看來,作爲DAL框和Web Sever框 - 都運行Windows/IIS - 如果公共框已經被入侵,相同的漏洞可能會在DAL框上工作 - 因此我不認爲這是一個真正的安全利益。
我想建議我們刪除中間機器並允許Web服務器直接連接到數據庫。
這個中間盒真的是一個好處嗎?
假設公共Web服務器被防火牆限制爲只有80端口,並且dal盒再次被隔離到只有80端口 - 你是否仍然看到了好處?非常感謝您的答覆。 – Jonno 2010-06-12 23:52:34
@Jonno - 只要防火牆在那裏,就有絕對的好處。在我工作的地方我們有類似的設置,並且防火牆由運行監視程序的安全小組維護,以檢查3個防火牆層之間的所有連接。必須獨立利用防火牆的每一層,每次利用攻擊都會留下更多足跡。 – 2010-06-13 00:00:56
感謝您的回覆 – Jonno 2010-06-13 00:08:36