有沒有一種安全的方法可以讓 DMZ 中的 IIS 7 訪問防火牆後面的數據庫伺服器？

我們的網路管理員堅持認為，託管在 DMZ 中的 Web 伺服器訪問我們防火牆後面的數據庫伺服器是不安全的。為了解決這個問題，我們通過 Web 服務或 WCF 訪問數據。我覺得這是一個不必要的性能負擔，如果 Web 伺服器可以直接訪問數據庫，則可以消除這種負擔。

我得到的原因是黑客能夠登錄到他們可以訪問數據庫的 Web 伺服器。是否可以只為 IIS 打開埠，或者不能那麼具體？如果我們可以將其鎖定為僅 IIS，那麼這是否容易被黑客入侵？

我已經閱讀了網際網路上的各種文章，但我似乎無法找到明確的答案。

鋁

我已經為大型企業建立了平台，通常的做法是確保您的數據庫與您的 Web 伺服器位於不同的 VLAN 上，防火牆位於這些路由流量之間，僅路由到數據庫伺服器埠，並且在您的 Web 前面有防火牆伺服器。通常，您的前端防火牆會將埠 80 (HTTP) 和埠 443 (HTTPS) 轉發到您的 Web 伺服器。位於 Web 伺服器和數據庫伺服器之間的防火牆會將來自 Web 伺服器的流量轉發到數據庫使用的埠（如果使用 Microsoft SQL Server，通常是埠 1433）。

為了提高安全性：

• 確保您使用最低權限的帳戶來訪問數據庫伺服器
• 如果您使用的是 ASP.NET，您可以在 web.config 中加密您的數據庫連接字元串
• 聘請第三方公司進行滲透測試，以告知任何漏洞
• 確保定期安裝更新和服務包。

如果您的數據庫是 MI6 或 CIA 數據庫，那麼您的網路管理員可能是對的，但我也覺得他們反應過度了。

如果數據庫確實包含絕對不能暴露給公共網路的數據，但您的數據庫需要的數據不是那麼敏感，您是否可以考慮將您的網站所需的表複製到您託管環境中的數據庫？

我會問他們這個問題：

• 如果黑客獲得了對 Web 伺服器的訪問權限，他們可以呼叫您的 Web 服務嗎？
• 如果在 IIS 中發現了使他們能夠訪問您的 Web 伺服器的漏洞，那麼他們肯定只是利用託管您的 Web 服務的 Web 伺服器上的相同漏洞嗎？
• 他們能否安裝監控使用者輸入以嗅探記憶體中的密碼的軟體？

引用自：https://serverfault.com/questions/298552