Sql-Server

有沒有一種安全的方法可以讓 DMZ 中的 IIS 7 訪問防火牆後面的數據庫伺服器?

  • August 7, 2011

我們的網路管理員堅持認為,託管在 DMZ 中的 Web 伺服器訪問我們防火牆後面的數據庫伺服器是不安全的。為了解決這個問題,我們通過 Web 服務或 WCF 訪問數據。我覺得這是一個不必要的性能負擔,如果 Web 伺服器可以直接訪問數據庫,則可以消除這種負擔。

我得到的原因是黑客能夠登錄到他們可以訪問數據庫的 Web 伺服器。是否可以只為 IIS 打開埠,或者不能那麼具體?如果我們可以將其鎖定為僅 IIS,那麼這是否容易被黑客入侵?

我已經閱讀了網際網路上的各種文章,但我似乎無法找到明確的答案。

我已經為大型企業建立了平台,通常的做法是確保您的數據庫與您的 Web 伺服器位於不同的 VLAN 上,防火牆位於這些路由流量之間,僅路由到數據庫伺服器埠,並且在您的 Web 前面有防火牆伺服器。通常,您的前端防火牆會將埠 80 (HTTP) 和埠 443 (HTTPS) 轉發到您的 Web 伺服器。位於 Web 伺服器和數據庫伺服器之間的防火牆會將來自 Web 伺服器的流量轉發到數據庫使用的埠(如果使用 Microsoft SQL Server,通常是埠 1433)。

為了提高安全性:

  • 確保您使用最低權限的帳戶來訪問數據庫伺服器
  • 如果您使用的是 ASP.NET,您可以在 web.config 中加密您的數據庫連接字元串
  • 聘請第三方公司進行滲透測試,以告知任何漏洞
  • 確保定期安裝更新和服務包。

如果您的數據庫是 MI6 或 CIA 數據庫,那麼您的網路管理員可能是對的,但我也覺得他們反應過度了。

如果數據庫確實包含絕對不能暴露給公共網路的數據,但您的數據庫需要的數據不是那麼敏感,您是否可以考慮將您的網站所需的表複製到您託管環境中的數據庫?

我會問他們這個問題:

  • 如果黑客獲得了對 Web 伺服器的訪問權限,他們可以呼叫您的 Web 服務嗎?
  • 如果在 IIS 中發現了使他們能夠訪問您的 Web 伺服器的漏洞,那麼他們肯定只是利用託管您的 Web 服務的 Web 伺服器上的相同漏洞嗎?
  • 他們能否安裝監控使用者輸入以嗅探記憶體中的密碼的軟體?

引用自:https://serverfault.com/questions/298552