如何通过防火墙向数据层发送安全请求

Question

有人要求我用数据库中的一些数据填充闪存文件。我说：“太好了，我将编写一些与数据库对话并输出 xml 的 PHP。swf 可以调用该文件。”

然后我的老板告诉我，该解决方案无法与 IS 相提并论，我必须找到一种更安全的方法来实现它。啊！

我提出的解决方案是创建一些位于我们公司防火墙之外的业务逻辑。 actionscript 将向该文件发出请求，该文件将向位于防火墙后面的中间层发送安全请求。中间层将通过连接到数据库并通过相同的安全连接通过防火墙返回适当的数据来处理请求。然后业务逻辑输出xml，大家都很开心。

我已经绘制了我想要做的图表以使其非常清楚： http://twitpic.com/2kj0tk

这是我的问题：

1. 此解决方案是否符合行业最佳实践？
2. 它会起作用吗？
3. 我需要在每一层中编写什么代码来建立安全连接并通过防火墙传输数据？我想也许我可以使用 cURL，但我不知道这是否可以通过防火墙。如果可能的话，有人介意他们将如何解决这个问题，并提供代码示例吗？
4. 可能我最终不得不在 .NET 中编写解决方案。这将如何改变我的方法？4.
5. 您还需要我提供哪些其他信息来帮助解决此问题？

谢谢大家！

Answer 1

根据您保护的数据类型以及您的 IT 部门的安全意识如何，“真正的”解决方案是将您的数据库服务器置于它们自己的防火墙之后（是的，在您的公司网络内部）。您的中间层将通过此防火墙使用标准协议与数据库通信。

您的中间层在您的“主”防火墙后面运行（这里可以有不同的级别，但最简单的是，这是您的网络和互联网之间的防火墙）。

您的网络服务器位于此“前端”防火墙之外的 DMZ 中，因此进出它们的所有流量（包括来自互联网的）都必须通过此前端防火墙。

此时，您可以使用标准技术从您的网络服务器与您的中间层进行通信。然后，您的中间层使用标准技术与数据库进行通信。我同意让您的网络服务器直接与数据库对话不是一个好主意。

我向老板提出的问题是“为什么最初的解决方案是个坏主意？”。他们是否希望通过内部网络加密数据？还是只是网络服务器 -> 数据库服务器连接很麻烦（我同意）？