【问题标题】:Relay WCF Service中继 WCF 服务
【发布时间】:2010-05-17 19:39:46
【问题描述】:

这更多的是一个架构和安全问题。我正在尝试确定是否需要建议的架构。让我解释一下我的配置。

我们建立了一个标准的 DMZ,基本上有两个防火墙。一个面向外部,另一个连接到内部 LAN。下面描述了每个应用层当前运行的位置。

防火墙外:
Silverlight 应用程序

在 DMZ 中:
WCF 服务(业务逻辑和数据访问层)

局域网内部:
数据库

我收到了有关架构不正确的意见。具体来说,有人建议,因为“Web 服务器很容易被黑客入侵”,我们应该在 DMZ 内放置一个中继服务器,该服务器与 LAN 内的另一个 WCF 服务通信,然后该服务将与数据库通信。外部防火墙当前配置为仅允许端口 443 (https) 访问 WCF 服务。内部防火墙配置为允许来自 DMZ 中的 WCF 服务的 SQL 连接。

忽略明显的性能影响,我也看不到安全方面的好处。我将保留对这个建议的判断,以避免因我的偏见而污染答案。任何意见表示赞赏。

谢谢,
马特

【问题讨论】:

    标签: wcf architecture network-security


    【解决方案1】:

    我确实认为所做的评论是有效的,在这种情况下,我可能还会尝试使用尽可能多的“深度防御”层。

    另外,如果您使用 .NET 4(或可以迁移到它),实现这一目标的工作量可能比您担心的要少。

    您可以使用新的 .NET 4 / WCF 4 路由服务很容易地做到这一点。还有一个好处:您可以将 HTTPS 端点暴露给外部世界,但在内部,您可以使用 netTcpBinding(速度快得多)来处理内部通信。

    看看设置 .NET 4 路由服务是多么容易:

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2011-04-22
      • 1970-01-01
      相关资源
      最近更新 更多