從Web服務安全地訪問Windows網絡共享

Question

我們開發了一個RESTful Web服務，它需要訪問網絡共享才能讀取和寫入文件。這是一個面向公衆的Web服務（通過SSL運行），它要求工作人員使用分配的用戶名和密碼進行登錄。

此Web服務將在DMZ中運行。從DMZ訪問網絡共享似乎並不「正確」。我會冒險猜測，這樣做的「安全」方式將提供域，其中只有與我們的Web服務交談。這樣，如果有人想利用它，他們將不得不通過Web服務找到一種方法，而不是通過已知的系統API。

我的解決方案「正確」嗎？有沒有更好的辦法？

注：

• Web服務確實IIS下不運行。
• Web服務當前運行在可訪問網絡共享和訪問SQL數據庫的帳戶下。
• Web服務僅適用於指定人員，而不是公衆。
• 我是一名開發人員，而不是IT專業人員。

Answer 1

怎麼樣某種vpn使用內部資源？有一些漂亮的解決方案，開放網絡共享網絡似乎有太大的風險。除此之外，當攻擊者使用這些Web服務闖入您的DMZ主機時，他可以使用相同的API打入您的內部服務器，除非您有能力創建兩個完全不同的解決方案。

當直接從DMZ訪問文件服務器時，您可以使用防火牆限制這些連接，所以即使在打破DMZ主機之後，攻擊者也無法做到「一切」，只能讀取（寫入？）這些服務器。

我建議＃2