【发布时间】:2010-05-17 19:39:46
【问题描述】:
这更多的是一个架构和安全问题。我正在尝试确定是否需要建议的架构。让我解释一下我的配置。
我们建立了一个标准的 DMZ,基本上有两个防火墙。一个面向外部,另一个连接到内部 LAN。下面描述了每个应用层当前运行的位置。
防火墙外:
Silverlight 应用程序
在 DMZ 中:
WCF 服务(业务逻辑和数据访问层)
局域网内部:
数据库
我收到了有关架构不正确的意见。具体来说,有人建议,因为“Web 服务器很容易被黑客入侵”,我们应该在 DMZ 内放置一个中继服务器,该服务器与 LAN 内的另一个 WCF 服务通信,然后该服务将与数据库通信。外部防火墙当前配置为仅允许端口 443 (https) 访问 WCF 服务。内部防火墙配置为允许来自 DMZ 中的 WCF 服务的 SQL 连接。
忽略明显的性能影响,我也看不到安全方面的好处。我将保留对这个建议的判断,以避免因我的偏见而污染答案。任何意见表示赞赏。
谢谢,
马特
【问题讨论】:
标签: wcf architecture network-security