我们的网络管理员坚持认为,我们在DMZ中托管的Web服务器访问防火墙后面的数据库服务器是不安全的.为了解决这个问题,我们通过Web服务或WCF访问数据.我觉得如果Web服务器可以直接访问数据库,这是一个不必要的性能负担.
我得到的原因是黑客能够登录到他们可以访问数据库的Web服务器.是否可以仅为IIS打开端口,或者不可能是特定的?如果我们可以将其锁定到IIS,那么这很容易被黑客所包含吗?
我在互联网上阅读了各种帖子,但我似乎无法找到明确的答案.
人
解决方法
我已经为大型企业设置了平台,通常的做法是确保您的数据库与您的Web服务器位于不同的VLAN上,只有这些路由流量与数据库服务器端口之间的防火墙以及Web前面的防火墙服务器.通常,您的前端防火墙会将端口80(HTTP)和端口443(HTTPS)转发到您的Web服务器.位于Web服务器和数据库服务器之间的防火墙会将流量从Web服务器转发到数据库使用的端口(如果使用Microsoft sql Server,则通常为端口1433).
为了提高安全性:
>确保使用权限最少的帐户访问数据库服务器
>如果您使用的是ASP.NET,则可以在web.config中加密数据库连接字符串
>聘请第三方公司进行渗透测试,以建议任何漏洞
>确保定期安装更新和Service Pack.
如果您的数据库是MI6或CIA数据库,那么您的网络管理员可能是正确的,但我也觉得他们反应过度.
如果数据库确实包含绝对无法公开到公共网络的数据,但数据库所需的数据不是那么敏感,您是否可以将您的网站所需的表复制到托管环境中的数据库?
我问他们这个问题:
>如果黑客获得对Web服务器的访问权限,他们是否可以调用您的Web服务?>如果在IIS中发现了一个漏洞,使他们能够访问您的Web服务器,那么他们肯定只是利用托管您的Web服务的Web服务器上的相同漏洞?>他们可以安装监控用户输入的软件来嗅探内存中的密码吗?