1

我们开发了一个 RESTful Web 服务,它需要访问网络共享才能读取和写入文件。这是一个面向公众的 Web 服务(通过 SSL 运行),要求员工使用指定的用户名和密码登录。

此 Web 服务将在 DMZ 中运行。从 DMZ 访问网络共享似乎并不“正确”。我冒昧地猜测这样做的“安全”方法是在域内提供另一个服务,它只与我们的 Web 服务对话。那样的话,如果有人想利用它,他们将不得不通过 Web 服务找到一种方法,而不是通过已知的系统 API。

我的解决方案“正确”吗?有没有更好的办法?

笔记:

  • Web 服务不在IIS 下运行。
  • Web 服务当前在有权访问网络共享和访问 SQL 数据库的帐户下运行。
  • 网络服务仅适用于指定人员,而非公众。
  • 我是开发人员,而不是 IT 专业人员。
4

1 回答 1

0

使用内部资源的某种 vpn 怎么样?对此有一些很好的解决方案,并且向互联网开放网络共享似乎风险太大。

除此之外,当攻击者使用这些 Web 服务闯入您的 DMZ 主机时,他可以使用相同的 API 闯入您的内部服务器,除非您有能力创建两个完全不同的解决方案。

当直接从 DMZ 访问文件服务器时,您将使用防火墙限制这些连接,因此即使在破坏您的 DMZ 主机之后,攻击者也无法执行“所有操作”,而只能读取(写入?)这些服务器。

我建议#2

于 2013-10-30T13:24:49.577 回答