我们有一个使用 OOTB ASP.net 成员资格和角色提供者的 Intranet asp.net Web 应用程序。
现在我们计划通过将 Web 服务器移动到 DMZ 来将应用程序公开到 Internet,如下面(糟糕的)文本图所示
外部内部 互联网 --- 防火墙 --- Web 服务器 --- 防火墙 --- 应用服务器 --- 数据库 非军事区内联网现在的问题是web服务器上的asp.net成员和角色提供者因为内部防火墙无法连接到sql server。
你以前遇到过这样的情况吗?您会建议在内部防火墙中打开端口,以便网络服务器可以直接连接到 SQL 服务器吗?我还有哪些其他选择(除了自己编写自定义提供程序)?
【问题讨论】:
标签: asp.net architecture deployment asp.net-membership dmz
更改您的 DMZ 政策并打开端口通常非常困难。按照我的做法,您可能会获得更好的成功:在网络中公开 WCF 服务,并通过端口 80 上的 HTTP 与其通信。
与 LAN 人员零摩擦,我只是模仿 .NET 提供给我们的完全相同(虽然很糟糕)的 API :)
编辑:澄清一下,这意味着我有一个 RemoteRoleProvider 配置如下:
<roleManager enabled="true" defaultProvider="RemoteRoleProvider">
<providers>
<add name="RemoteRoleProvider" type="MyCorp.RemoteRoleProvider, MyCorp" serviceUrl="http://some_internal_url/RoleProviderService.svc" />
</providers>
</roleManager>
【讨论】:
我们在 DMZ 中有几个面向 Internet 的 Web 服务器,并且必须在防火墙中打开隧道返回到我们需要与之交互的专用网络中的 SQL 服务器。我认为我们为 SQL 连接使用了端口 1433 以外的其他东西。到目前为止,它运行良好,即没有安全漏洞。
【讨论】: