我们有一个使用 OOTB ASP.net 成员资格和角色提供者的 Intranet asp.net Web 应用程序。
现在我们计划通过将 Web 服务器移动到 DMZ 来将应用程序公开到 Internet,如下面(蹩脚的)文本图所示
外部内部
互联网 --- 防火墙 --- Web 服务器 --- 防火墙 --- 应用服务器 --- 数据库
非军事区内联网
现在的问题是,由于内部防火墙,Web 服务器上的 asp.net 成员资格和角色提供程序无法连接到 sql 服务器。
你以前有没有遇到过这样的情况?您会建议在内部防火墙中打开端口,以便网络服务器可以直接连接到 SQL 服务器吗?我还有什么其他选择(除了自己拧一个自定义提供程序)?
更改 DMZ 策略和打开端口通常非常困难。像我所做的那样,您可能会取得更好的成功:在网络中公开 WCF 服务并通过端口 80 上的 HTTP 与其通信。
与 LAN 人员零摩擦,我只是模仿 .NET 提供给我们的完全相同(虽然很糟糕)的 API :)
编辑:澄清一下,这意味着我有一个配置如下的 RemoteRoleProvider:
<roleManager enabled="true" defaultProvider="RemoteRoleProvider">
<providers>
<add name="RemoteRoleProvider" type="MyCorp.RemoteRoleProvider, MyCorp" serviceUrl="http://some_internal_url/RoleProviderService.svc" />
</providers>
</roleManager>
我们在 DMZ 中有几个面向 Internet 的 Web 服务器,并且必须在防火墙中打开隧道返回到我们需要与之交互的专用网络中的 SQL 服务器。我认为我们为 SQL 连接使用了端口 1433 以外的其他东西。到目前为止,它运行良好,即没有安全漏洞。