问题标签 [dmz]

我们有一个使用 OOTB ASP.net 成员资格和角色提供者的 Intranet asp.net Web 应用程序。

现在我们计划通过将 Web 服务器移动到 DMZ 来将应用程序公开到 Internet，如下面（蹩脚的）文本图所示

现在的问题是，由于内部防火墙，Web 服务器上的 asp.net 成员资格和角色提供程序无法连接到 sql 服务器。

你以前有没有遇到过这样的情况？您会建议在内部防火墙中打开端口，以便网络服务器可以直接连接到 SQL 服务器吗？我还有什么其他选择（除了自己拧一个自定义提供程序）？

我有一个非常简单的 wcf 服务。还有一个简单的windows mobile客户端。

我有两台 Windows 2008 服务器。一个是我的开发电脑。另一个放在我们的dmz中。

如果我将我的应用程序部署到我的开发电脑、IIS，并一直打开一个端口（仅用于测试）。有用。

但是如果我将服务复制到 dmz 服务器上，它不会。

我自己设置了两台机器，我可以通过移动设备上的 Internet Explorer 访问该服务。

我还创建了一个标准。winforms 测试客户端，该服务在 dmz 上运行，而不是来自移动设备......

任何想法怎么办？

/阿德洛

我在使用 WCF 服务相互通信的两个 Web 应用程序时遇到了一些问题。这是我的场景：

• Web 应用程序“A”部署在公司 Intranet 的服务器和域“Intranet”的一部分
• Web 应用程序“B”部署在 DMZ 的服务器中，暴露于 Internet 和域“extranet”的一部分
• 两个域之间有防火墙，没有信任关系。
• “A”调用“B”中的一些 WCF 服务，使用 wsHttpBinding
• “B”中的 WCF 服务在 IIS 上的 SSL 下是传输安全的。
• 我们正在使用用户名认证行为来认证“A”

这是服务器绑定配置：

">

“在我的测试环境中一切似乎都运行良好，它有两个与生产环境类似的域。然而在生产环境中，每次“A”调用“B”时我都会遇到一个丑陋的错误，即：

首先，我认为这是服务器之间时钟同步的问题，因为我可以通过改变 10 分钟的时钟来在测试环境中重现相同的异常。不幸的是，这似乎不是问题，因为我们的生产服务器是同步的。

任何信息将不胜感激！！

我正在开发一个托管在非军事区 (DMZ) 中的 Web 服务器上的 Web 应用程序。我需要在其自己的服务器上的数据库上运行 MySQL 查询，该服务器与 Web 服务器位于同一本地网络上，但无法通过 Internet 访问。

我可以使用 putty 访问 Web 服务器，并且 Web 服务器安装了 MySQL。我还可以将 sql 文件 SFTP 到网络服务器。

我觉得我拥有所有工具，只是缺少一些专业知识！任何有关如何执行这些 sql 文件的帮助将不胜感激。

提前致谢，

克里斯

我们有一个 DMZ，我们在其中托管一个 IIS 网站，该网站反过来使用 TCP 与我们的“应用”服务器（也是 IIS）WCF 服务进行通信。

当我们在域和网络中时，这工作正常。当我们尝试从 DMZ 访问服务时，我们会收到“无法处理匿名”用户异常。直接访问应用服务器工作正常。

关于在 DMZ 和应用服务器之间配置安全性的最佳方式有什么建议吗？

谢谢。

KJQ

这是所需的设置：

• 带有 wsHttpBinding 的服务位于防火墙后面的机器 1 上的 IIS 6 上。
• 客户端是 DMZ 上机器 2 上 IIS 6 上的前端网站。

我们目前能够使用 Windows 身份验证对客户端进行身份验证，但使用模拟

因为该网站将使用“ASPNET”作为用户名，而该用户名不在域中。

由于安全问题，我们现在想放弃这种方法；我们不想在 DMZ 上公开此类信息。

1. 有什么方法可以在不使用客户端配置的模拟的情况下正确进行身份验证？

2. 如果我们更改为使用证书身份验证，是否会影响需要模拟的服务操作（例如，需要模拟以访问网络上的文件）？

谢谢。

我必须配置一个托管在公司网络中的 Java 应用程序。那么什么是 DMZ 以及如何通过暴露服务？

我即将为客户开发一项服务。该服务将位于防火墙后面的 Intranet 上，并拥有自己的数据库。该服务将由位于 DMZ 上的另一个 Web 应用程序使用。现在，我的问题是，公司有一种严格的政策，不开放任何从 DMZ 到内网的端口。

1) 我在 DMZ 上的 Web 应用程序是否可以在不打开端口的情况下访问 Intranet 上的 WCF 服务？

2）如果没有，是否有任何参考架构描述可以打开端口并且仍然有安全的解决方案？也许与证书、某种授权等结合使用。任何其他应用程序都不需要使用该服务（至少现在不需要），因此可以有一个配置将消费者限制在这个单一的网络应用程序中。

最好的问候/瓦莱

我正在开发一个外部网站（在 DMZ 中），该网站需要从我们的内部生产数据库中获取数据。

我提出的所有设计都被拒绝了，因为网络部门不允许任何类型的连接（WCF、Oracle 等）从 DMZ 进入内部。

来自网络方面的建议通常分为两类 -

1) 将所需数据导出到 DMZ 中的服务器，并最终以某种方式导出修改/插入的记录，或

2) 从内部轮询，不断询问 DMZ 中的服务是否有任何需要服务的请求。

我反对建议 1，因为我不喜欢数据库位于 DMZ 中的想法。对于正在做的事情的性质，选项 2 似乎是一个荒谬的额外复杂性。

这些是唯一合法的解决方案吗？我缺少一个明显的解决方案吗？“禁止从 DMZ 进入”法令是否实用？

编辑：我经常听到的一句话是“没有大公司允许网站连接内部以获取实时生产数据。这就是他们发送确认电子邮件的原因”。真的是这样吗？

我们有一个应用程序将文件存储在我们 LAN 中的文件服务器上。现在，他们想要一个 Web 应用程序来使文件在我们的公共 Web 服务器（在 DMZ 中）上可用。从 Web 应用程序访问这些文件的最佳方法是什么？

我考虑过的选项是：

1. 从 DMZ 到 LAN 服务器的 FTP。（最便宜最简单的）
2. DMZ 中的第二个文件服务器，文件从 LAN 推送到它。（更好的性能和安全性，但也更多的钱）