Sql-Server
有沒有一種安全的方法可以讓 DMZ 中的 IIS 7 訪問防火牆後面的數據庫伺服器?
我們的網路管理員堅持認為,託管在 DMZ 中的 Web 伺服器訪問我們防火牆後面的數據庫伺服器是不安全的。為了解決這個問題,我們通過 Web 服務或 WCF 訪問數據。我覺得這是一個不必要的性能負擔,如果 Web 伺服器可以直接訪問數據庫,則可以消除這種負擔。
我得到的原因是黑客能夠登錄到他們可以訪問數據庫的 Web 伺服器。是否可以只為 IIS 打開埠,或者不能那麼具體?如果我們可以將其鎖定為僅 IIS,那麼這是否容易被黑客入侵?
我已經閱讀了網際網路上的各種文章,但我似乎無法找到明確的答案。
鋁
我已經為大型企業建立了平台,通常的做法是確保您的數據庫與您的 Web 伺服器位於不同的 VLAN 上,防火牆位於這些路由流量之間,僅路由到數據庫伺服器埠,並且在您的 Web 前面有防火牆伺服器。通常,您的前端防火牆會將埠 80 (HTTP) 和埠 443 (HTTPS) 轉發到您的 Web 伺服器。位於 Web 伺服器和數據庫伺服器之間的防火牆會將來自 Web 伺服器的流量轉發到數據庫使用的埠(如果使用 Microsoft SQL Server,通常是埠 1433)。
為了提高安全性:
- 確保您使用最低權限的帳戶來訪問數據庫伺服器
- 如果您使用的是 ASP.NET,您可以在 web.config 中加密您的數據庫連接字元串
- 聘請第三方公司進行滲透測試,以告知任何漏洞
- 確保定期安裝更新和服務包。
如果您的數據庫是 MI6 或 CIA 數據庫,那麼您的網路管理員可能是對的,但我也覺得他們反應過度了。
如果數據庫確實包含絕對不能暴露給公共網路的數據,但您的數據庫需要的數據不是那麼敏感,您是否可以考慮將您的網站所需的表複製到您託管環境中的數據庫?
我會問他們這個問題:
- 如果黑客獲得了對 Web 伺服器的訪問權限,他們可以呼叫您的 Web 服務嗎?
- 如果在 IIS 中發現了使他們能夠訪問您的 Web 伺服器的漏洞,那麼他們肯定只是利用託管您的 Web 服務的 Web 伺服器上的相同漏洞嗎?
- 他們能否安裝監控使用者輸入以嗅探記憶體中的密碼的軟體?