我正在一个外部网站(在DMZ中)工作,该网站需要从内部生产数据库中获取数据。
我提出的所有设计都被拒绝了,因为网络部门不允许任何类型的连接(WCF,Oracle等)从DMZ进入内部。
来自网络方面的建议通常分为两类:
1)将所需的数据导出到DMZ中的服务器,并最终以某种方式导出修改/插入的记录,或者
2)从内部进行轮询,不断询问DMZ中的服务是否有任何需要服务的请求。
我反对建议1,因为我不喜欢将数据库放在DMZ中的想法。对于正在执行的操作,选择2似乎是多余的复杂操作。
这些是唯一合法的解决方案吗?有什么明显的解决方案我找不到吗? “禁止从DMZ连接”法令是否可行?
编辑:我经常听到的一句话是:“没有大公司允许网站连接内部以获取实时生产数据。这就是为什么他们发送确认电子邮件的原因”。真的是这样吗?
最佳答案
抱歉,您的网络部门正在崩溃或类似的事情-他们显然不了解DMZ的目的。概括来说-有三个“区域”-大的,糟糕的外部世界,纯净的原始内部世界以及众所周知的,可信任的,安全的DMZ。
规则是:
第四点是他们尚未掌握的-错误的“非DMZ连接”策略。
问他们“我们的电子邮件系统如何工作?”我假设您有一台企业邮件服务器,也许是交换服务器,并且个人有与之连接的客户端。请他们解释您的公司电子邮件(可访问Internet电子邮件)如何工作并符合其政策。
抱歉,它并没有真正给您答案。
关于security - 从DMZ中的Web服务器访问内部生产数据库中的数据,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4138167/