Unsere Netzwerkadministratoren sind sich sicher, dass es für unsere Webserver, die in der DMZ gehostet werden, nicht sicher ist, auf den DB-Server hinter unserer Firewall zuzugreifen. Um das Problem zu umgehen, greifen wir über Webservices oder WCF auf die Daten zu. Ich halte dies für eine unnötige Leistungsbelastung, die vermieden werden könnte, wenn der Webserver direkt auf die Datenbank zugreifen könnte.
Der Grund, warum ich angegeben wurde, ist, dass sich ein Hacker auf dem Webserver anmelden konnte, um dann auf die Datenbank zuzugreifen. Ist es möglich, die Ports nur für IIS zu öffnen, oder kann dies nicht spezifisch sein? Wenn wir es nur auf IIS beschränken können, kann dies der Hacker dann leicht einbeziehen?
Ich habe verschiedene Beiträge im Internet gelesen, aber ich kann scheinbar keine eindeutige Antwort finden.
Al
Antworten:
Ich habe Plattformen für große Unternehmen eingerichtet. In der Regel wird sichergestellt, dass sich Ihre Datenbanken in einem anderen VLAN befinden als Ihre Webserver, wobei sich zwischen diesen Routing-Daten nur eine Firewall zum Datenbankserver-Port und eine Firewall vor Ihrem Web befindet Server. Normalerweise leitet Ihre Front-Firewall Port 80 (HTTP) und Port 443 (HTTPS) an Ihre Webserver weiter. Die Firewall zwischen dem Webserver und dem Datenbankserver leitet den Datenverkehr von den Webservern an den von Ihrer Datenbank verwendeten Port weiter (normalerweise Port 1433, wenn Sie Microsoft SQL Server verwenden).
Für mehr Sicherheit:
Wenn es sich bei Ihrer Datenbank um die MI6- oder CIA-Datenbank handelt, haben Ihre Netzwerkadministratoren wahrscheinlich recht, aber auch ich habe den Eindruck, dass sie überreagieren.
Wenn die Datenbank Daten enthält, die für ein öffentliches Netzwerk absolut nicht zugänglich sind, Ihre Datenbank jedoch nicht so sensibel ist, können Sie die für Ihre Website erforderlichen Tabellen in einer Datenbank replizieren, die sich in Ihrer Hosting-Umgebung befindet?
Ich würde ihnen die Frage stellen:
quelle
Ihre Webserver können sich auch hinter einer Firewall befinden. Sie müssen lediglich Port 80 an den richtigen Server weiterleiten. Alle anderen Ports, die Ihr Webserver nicht benötigt, sollten auf der meisten externen Firewall geschlossen sein. Dann sollte es eine Firewall zwischen Ihren Webservern und Ihren Datenservern geben. In dieser Firewall dürfen nur die Ports geöffnet sein, über die die Datenbanken kommunizieren.
Hier ist ein Diagramm
Internet -> Firewall -> Webserver -> Firewall -> Datenbanken
Zu Ihrer Information, ich bin ein Entwickler, obwohl ich in meinem Unternehmen oft mit unseren IT-Mitarbeitern zusammenarbeite, da wir ein kleiner Laden sind.
quelle