繼電器WCF服務

Question

這是一個比其他任何問題更多的架構和安全問題。我試圖確定建議的架構是否必要。讓我解釋一下我的配置。

我們有一個標準的DMZ，它基本上有兩個防火牆。一個是面向外部的，另一個是連接到內部局域網。以下描述了每個應用程序層當前正在運行的位置。

防火牆外：
Silverlight應用程序

在DMZ：
WCF服務（業務邏輯&數據訪問層）

局域網內部：
數據庫

我收到有關體系結構不正確的意見。具體而言，有人提出，因爲「一個Web服務器很容易被黑客入侵」，我們應該在DMZ內部放置一箇中繼服務器，該DMZ與局域網內的另一個WCF服務進行通信，然後與該數據庫進行通信。外部防火牆當前配置爲只允許端口443（https）到WCF服務。內部防火牆配置爲允許來自DMZ中WCF服務的SQL連接。

忽略了明顯的性能影響，我也沒有看到安全性好處。我將保留我對這一建議的判斷，以避免我的偏見污染答案。任何輸入讚賞。

感謝，
馬特

Answer 1

我認爲作出上述表示是有效的，而在這種情況下，我可能會也嘗試使用盡可能多的「防禦縱深」圖層我可能拿出。如果你使用的是.NET 4（或者可以移動到它），那麼實現它的工作量可能會比你害怕的要少。

您可以使用新的.NET 4/WCF 4路由服務輕鬆完成此操作。作爲一個額外的好處：你可以向外界公開一個HTTPS端點，但在內部，你可以使用netTcpBinding（它快很多）來處理內部通信。

退房多麼容易建立一個.NET 4路由服務：

• What's new in WCF4 Routing Service - or: "Look ma: Just one service to talk to!"
• Creating Routing Service using WCF 4.0, .NET Framework 4.0 and Visual Studio 2010 RC