Web-Server

內部數據通過防火牆進入我們的網站:我有哪些選擇?

  • November 30, 2009

我們有一個相當大的內部 MS SQL 數據庫。我需要在我們的網站上為我們的一些買家提供一個界面。通過我們的防火牆向網站提供數據有哪些不錯的選擇?

目前,從外部對內部網路的所有訪問都是通過 Cisco VPN 完成的。

雖然我們確實希望向經過身份驗證的使用者提供對整體數據子集的訪問(通過 ASP.NET 網站的過濾器),但如果我們的所有數據都洩露了,那將是非常糟糕的。

安全是一個重要問題。

  • Web 伺服器不在現場
  • 數據庫伺服器在現場

有任何想法嗎?

謝謝。

可能有很多方法可以做到這一點,有些方法比其他方法更安全。如何在 Web 伺服器上設置一個 DB,您可以通過從 DB 伺服器到 Web 伺服器的 VPN 連接定期將相關數據推送到該數據庫。

我目前有幾種不同的方式:

  1. 我在本地數據庫上創建了有限的使用者帳戶,這些使用者帳戶只能讀取相應的表或視圖。然後我使用 stunnel 在異地伺服器和本地伺服器之間創建一個加密通道。異地伺服器從本地數據庫中提取,就好像它是本地的一樣。兩台機器都適當地防火牆。
  2. 我將在異地伺服器上創建一個虛擬數據庫,並按計劃推送適當的數據,再次使用 stunnel 作為連結。有時我會在本地伺服器上創建虛擬數據庫,並讓遠端伺服器與它通信,就像上面的第一種方法一樣。

這些選項都沒有給我一種溫暖的模糊感覺,但它們確實有效。使用 stunnel 很好,因為它是免費的,而且在 Windows 和 Linux 伺服器之間設置起來相對容易。這裡要記住的是:“如果遠端伺服器被入侵會發生什麼?”

我正在將其中一些流程轉換為 Web 服務。您可以查看XAware 之類的東西來創建這些服務。這有幾個好處。1)您沒有直接公開您的數據庫。2) 您可以使用標準的 Web 安全機制直接向客戶公開 Web 服務,並且比原始數據庫訪問具有更多的控制權。

引用自:https://serverfault.com/questions/89507