问题标签 [dmz]

我们有一个大型的三层 ejb 应用程序，它由位于 dmz（非军事区）中的网络服务器（apache tomcat）、应用程序服务器（jboss）和数据库服务器组成。

我们的客户端要求dmz和数据库服务器之间没有连接。

现在我们正在考虑集成 Spring(ROO)。

roo 的默认部署模型是连接到数据库服务器的 Web 应用程序 (war)。

在我们的场景中，Web 应用程序将在 dmz 中运行，但与数据库的连接会违反我们客户的安全要求。

解决此问题的最佳方法是什么（假设无法更改安全要求）？

一切顺利，

我们在托管 IIS 网站的 DMZ 中有一个网络服务器。该网站与托管 WCF 服务的私有域中的中间件机器进行通信。

当网络服务器尝试通过 TCP 绑定与中间件机器通信时，我们会收到以下错误消息，

服务器已拒绝客户端凭据。登录尝试失败。

该网站使用来自私有域的 AppPool 帐户（DMZ 信任私有域）。启用表单和匿名身份验证。

我的问题是，中间件服务器是否能够验证有效凭据（希望是 appPool 凭据），即使它们来自不受信任的域（dmz）？

我有一个 ASP.NET 应用程序 (C#)，只是一个供人们在 Internet 上填写和提交的表单。但是，我需要此应用程序将文件（仅使用 IO）写入 LAN 上的某个位置。由于 DMZ，这是一个问题。

据我了解，DMZ 的目的是不允许从可怕的大互联网连接到 LAN。
Internet ---> LAN：阻止
LAN ---> Internet：允许
Internet ---> DMZ：仅某些端口
LAN ---> DMZ：允许
DMZ ---> LAN：阻止

那么我能做什么呢？

我们在域内运行双通道服务。我们在端口 20120 上有一个 TCP 绑定，在端口 20121 上有一个 HTTP 绑定。

在 DMZ (web) 中，我们要访问这个 WCF 服务。防火墙似乎是从 web 到服务打开的。使用 telnet，我可以访问这两个端口，还可以从 Web 浏览器浏览 WSDL。现在，当我尝试从 Web 应用程序连接到服务时（它使用 TcpBinding，如果不重新部署新的二进制文件，我无法轻易将其更改为 HttpBinding，这是一个痛苦的过程），我得到一个异常。

我们的测试环境都是内网，所以没有DMZ。那里一切正常。

服务本身作为域用户运行，并且客户端服务行为已配置其 userPrincipal（如 username@domain.ext）。这需要访问 domain.exe 的域控制器吗？

我还在服务端启用了 WCF 日志记录，但那里没有任何反应。一切都很平静，就像那里什么都没发生一样。是否还有其他地方我错过了检查连接断开的原因。

EDIT1：我写了一个小测试程序，建立 wcf 连接并调用 2 个方法。这在与服务相同的机器上以及从 dmz 网络上也可以正常工作。绑定设置相同。（确认）。我从 dmz 网络机器上的普通控制台以本地用户身份运行测试。任何提示？

我正在尝试读取远程计算机上的文件，但是文件共享端口被阻止。实际上大多数端口都已关闭，只能执行 WMI 和注册表查询。

是否可以使用 WMI 或注册表从远程服务器读取或提取数据？

我们在 Windows 服务中有一个带有 netTCPBinding 的 WCF 服务，该服务连接到 ContentManager 服务器以上传文档并添加一些元数据，检索 documentID 并将其传递给 .Net 应用程序，使用 Windows 身份验证对客户端进行身份验证。我们编写了一个 WCF 客户端库，以供其他业务线应用程序用作代理，这些应用程序只想通过引用此 dll 来上传文档。只要客户端应用程序位于 Intranet 域内，所有这些都可以正常工作。

现在需要通过通过手机访问的 Web 应用程序使用此服务，移动应用程序访问旧版 asmx Web 服务，该服务引用代理以连接到 WCF 服务，该服务反过来与另一个后端 wcf 服务通信并上传到内容管理器，asmx webservice托管在DMZ当前域之外的服务器中，公司域和DMZ之间没有信任，我们在两台服务器上都打开了必要的端口，但由于客户端凭据类型是windows，它会抛出“远程服务器不满足相互认证要求。” 这是预期的。现在我们想使用 nettcpbinding 显然是出于性能考虑，因为文档是通过手机从远程位置扫描和发送的，而且几乎没有时间重写这不是一个选项。

我的问题是

1. 对于我上面提到的场景，使用证书对客户进行身份验证是正确的方法吗？
2. 我应该如何处理安全性，现在几乎所有操作都使用声明性模拟，如果我必须更改安全性，我该如何在不影响使用该服务的其他应用程序的情况下做到这一点。

我以前没有处理过证书，因此有关该场景的指导也将有很大帮助。

我们有一些位于防火墙后面的 Intranet 上的 WCF 服务，仅由内部应用程序使用。

新的要求是很少需要通过互联网从外部公司消费的服务。

我公司有人建议在 DMZ 中创建服务，与我们需要在公司外部公开的服务合同完全相同，这些 DMZ 服务的实现将只是对 Intranet 服务的调用。这将解决我们的问题，但我认为还有其他解决方案。

其他建议或一些网络配置？，我们是否遗漏了一些明显的东西？

此致

我有一个 Web 服务器（Apache）并在这台机器上配置了一个 CA 来创建自签名的 ssl 客户端证书（通过 openssl）。因为 Web 服务器在 DMZ 中，所以我的问题是：有什么方法可以在不同的机器上（在内部网络中）创建 ssl 客户端证书，并且可以将 DMZ 中的 Web 服务器配置为使用这些证书吗？

我客户的网络安全人员正在 DMZ 中建立他们的新网站以确保安全。这对我来说完全有意义。然而，她接着说，公司员工无法在内部访问该网站是最佳做法。例如，为了检查网站是否正常运行，她建议他们使用手机。

这是新事物吗？它甚至有意义吗？我以前从未听说过不允许公司员工通过内部网络访问公司网站。我不是安全人员，我是开发人员，所以如果这在金钱上是正确的，请告诉我，这对我来说似乎很不寻常。

这是公司现在正在实施的最佳实践吗？这是建议的方式吗？

非常感谢任何信息。我只是感到困惑和震惊。

谢谢！

我将在公司内部构建一个内部应用程序。有人告诉我数据样本位于 DMZ 网络上，那么我该如何连接呢？主要任务是显示数据并显示它。我对 DMZ 网络一无所知，是否有可用的 API 来实现这一点？