由于安全原因,我们将无法在本地机器上使用 IIS。相信很多人都遇到过同样的问题,请问你们是怎么解决的呢?以下是我们正在研究的选项:
创建一个与网络隔离的 VLAN 用于开发。这将允许我们使用我们想要的任何软件,包括 IIS。一个缺点是使用外部组织测试 Web 服务,这可以通过使用存根来克服。
不使用 VLAN,仅使用 Visual Studio 附带的 ASP.NET 开发服务器,然后将该代码部署到开发服务器。这样做的缺点是无法在本地开发期间复制生产环境。另外,至少有一位开发者需要IIS进行GIS开发,所以无法在本地进行开发。
感谢您提出意见或建议!
我们使用远程桌面在服务器上开发。为您提供正确的功能,并允许您立即在正确的操作系统上配置和测试应用程序。
您可以为 IIS 配置 IP 地址限制,包括基于白名单。例如限制为 kust 127.0.0.1。
我怀疑这可以通过组策略来完成,以最大限度地执行。
使用虚拟 PC 创建本地 VM。不要为该虚拟机提供网络连接。
编辑:请注意,可以通过两种方式安全地通过网络访问未联网的虚拟机:
通过网络共享共享虚拟机的设置和硬盘驱动器。一次只能有一个人使用虚拟机。我怀疑以一种巧妙的方式使用撤消磁盘可以消除这个限制,但它不受支持。
使用基于服务器的虚拟机解决方案,例如 VMWare。如果您的公司还没有这样做,那么建立起来会花费金钱和资源。这样做的好处是每个人都可以一次看机器。
请注意,在这两种解决方案中,用户都是直接访问 VM,而不是连接到它。因此,机器本身实际上并没有访问网络,因此如果不首先获得对托管 VM 的机器的访问权(例如,通过 #1 中的共享),就无法入侵 vm。这更像是远程桌面而不是外部网站,但是远程桌面让您远程访问的机器能够直接查看计算机,所以它不像这样安全。
重言式:一台机器不可能向其他机器提供内容,除非这些机器可以(直接或间接)访问。因此,如果您有运行 IIS 的 VM 并希望将其视为外部 Web 服务器,但又不能访问您网络上的计算机,那么您将遇到相互冲突的要求。任何涉及以某种迂回方式发送流量的技巧只是将安全漏洞变成更多迂回的安全漏洞(尽管从黑客的角度来看不是迂回)。
从技术上讲,#1 和#2 都可以通过网络访问 VM,但是虚拟机本身看不到网络(相反,托管 VM 的机器可以看到网络)。
根据评论,听起来您确实需要一个隔离的环境。路由器/防火墙加上 AD 森林单向信任 [1] 的组合应该允许您的(开发)系统访问您需要的公司资源,但反之亦然。
网络部分可以使用 VLAN 来完成,但如果 IIS 是个大问题,那么 VLAN 似乎不太可能实现足够的隔离。
我曾在这样的环境中工作过,开发工作在很大程度上是透明的(并且,包括允许我们开发人员获得我们需要的本地管理权限),同时确保我们不能干涉公司的 IT 运营。
[1] 即开发 AD 森林信任企业 AD 森林,反之亦然。