我一直在为内部使用编写 WCF 服务(以及 WinForms 和 MVC Web 应用程序)。但是,我现在需要将其中一项服务暴露给未清洗的大人!
由于这是来自单一来源的公司,我提出了以下建议:
建筑
但是,我的 IT 经理想要的远不止这些,还有更多……细节。
例如
我也能理解他的理由——如果一切顺利,那么他带着 jar ……这意味着最终我带着 jar !从大型机和 IBM/Websphere 的背景来看,他所听到的只是 IIS 是如何“不安全”的。
我怀疑他真正听到的是“开发人员/管理员没有正确保护 IIS/WCF”……所以我想尝试“正确”地做到这一点!
(有关信息,我正在浏览 Troy Hunt's posts ...但这里有很多!我尝试浏览 MSDN 的大量“ child 画纸”,发现很难从无尽的内容中提取我需要知道的内容“让这一段更长,听起来更重要,同时隐藏显着事实”填充物!)
最佳答案
Windows Server 和 IIS 是安全的。但是,如果您打算将其用于信用卡交易或其他您不想落入坏人之手的项目,那么您需要在开箱即用设置之外进一步保护服务器。
这是我最近用来敲定带有 IIS 7.5(已修补为当前标准)的 Windows 2008 R2 服务器的指南。您不必全部使用它们,但这将有助于在极其精细的级别保护服务器。此外,下面的 IIS 链接适用于 7.0,但它也适用于 7.5。
视窗服务器 2008 r2
http://web.nvd.nist.gov/view/ncp/repository/checklistDetail?id=377
信息系统
http://web.nvd.nist.gov/view/ncp/repository/checklistDetail?id=400
正如您很快就会看到的,这将需要一些时间来完成,但您可以展示需要做什么才能从开箱即用的设置中保护服务器和产品。您还可以起草一份文件,向您的老板提供保护服务器安全所需的内容。
关于iis-7.5 - 如何保护托管在 IIS 7.5 上的面向公众的 WCF 服务?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14453654/