是否有一种安全的方法允许DMZ中的IIS 7访问防火墙后面的数据库服务器?

Modified on: Wed, 21 Aug 2019 14:20:02 +0800

我们的网络管理员坚持认为,我们在DMZ中托管的Web服务器访问防火墙后面的数据库服务器是不安全的。为了解决这个问题,我们通过Web服务或WCF访问数据。我觉得如果Web服务器可以直接访问数据库,这是一个不必要的性能负担。

我给出的原因是黑客能够登录到Web服务器然后可以访问数据库。是否可以仅为IIS打开端口,或者不可能是特定的?如果我们可以将其锁定到IIS,那么这很容易被黑客所包含吗?

我在互联网上阅读了各种帖子,但我似乎找不到明确的答案。

的Al

作者:Al Polden

最佳答案

我为大型企业设置了平台,通常的做法是确保您的数据库与您的Web服务器位于不同的VLAN上,并且这些路由流量与数据库服务器端口之间只有防火墙以及前面的防火墙你的网络服务器。通常,您的前端防火墙会将端口80(HTTP)和端口443(HTTPS)转发到您的Web服务器。位于Web服务器和数据库服务器之间的防火墙会将流量从Web服务器转发到数据库使用的端口(如果使用Microsoft SQL Server,则通常为端口1433)。

为了提高安全性:

  • 确保使用权限最少的帐户访问数据库服务器
  • 如果您使用的是ASP.NET,则可以在web.config
  • 中加密数据库连接字符串
  • 聘请第三方公司进行渗透测试以建议任何漏洞
  • 确保定期安装更新和Service Pack。

如果您的数据库是MI6或CIA数据库,那么您的网络管理员可能是正确的,但我也觉得他们反应过度。

如果数据库确实包含绝对无法向公共网络公开的数据,但数据库所需的数据不是那么敏感,您是否可以将您的网站所需的表复制到托管环境中的数据库? / p>

我问他们这个问题:

  • 如果黑客获得对Web服务器的访问权限,他们可以调用您的Web服务吗?
  • 如果在IIS中发现了一个漏洞,使他们能够访问您的Web服务器,那么他们肯定会在托管您的Web服务的Web服务器上利用相同的漏洞吗?
  • 他们可以安装监控用户输入的软件来嗅探内存中的密码吗?
作者:DotNetHacker

相关问答

添加新评论