在DMZ上使用IIS

Question

情境

我有一个已经开发了两年的应用程序。 我使用.NET框架以Pascal的Oxygene语言开发它。 当我的代码中有新内容时，我将以文件系统方法发布应用程序。 我在Amazon EC2上有几个服务器，因此我将此文件传输到IIS服务器中的文件夹中。 在此IIS服务器中，我已经有一个与我的应用程序相对应的网站，因此我只是将旧文件替换为最新文件。 我有另一台充当SQL服务器的服务器。 最后一个细节是，在我的应用程序中，用户可以附加文件，导入图片，导出PDF和Excel文件。 附件和图片存储在应用程序所在的文件夹中。

问题

这是我的问题。 我有一个很大的新客户。 该公司似乎具有强大的IT安全性，因此应用程序必须位于其服务器中。 最大的问题是他们要求将我的应用程序设置为以下体系结构：

我曾经只使用应用程序服务器（可用于外部访问）和SQL Server。 他们想要DMZ网络中的第三台服务器，以便可以进行外部访问。 无法将应用程序放置在DMZ中的原因是因为下面提到的文件是用户存储在应用程序中的文件。 数据库存储所有数据，但不存储提到的那些文件。

我提供的解决方案，但不会被接受：

• 在DMZ中的IIS服务器中发布应用程序： 由于我的应用程序将用户附件存储在应用程序所在的同一文件夹中，因此不会被接受。 也有图像存储在那里。

• 在应用服务器中发布该应用程序，但还在DMZ服务器中发布一个空的应用程序，重定向到LAN内的IIS服务器： 这是我提出的最佳解决方案。

• 使用反向代理保护LAN Net： 这是不可行的，因为反向代理根本不安全。

我有点困惑，因为我看不到将应用程序一分为二以使其在建议的体系结构中工作的方法。

有人能给我提示或想法吗？

--

Answer 1

您不能“重定向”到LAN内部，重定向是一种客户端操作，因此，如果内部服务器尚未公开，则无法将某人重定向到它。

反向代理可能是您最好的选择。 您为什么认为它不安全？ 这是一个久经考验的解决方案，它允许您将其他端口/服务留给内部请求（例如文件服务器， 听起来像是在尝试公开），以供内部请求使用。

这些文件如何上传？ 您在使用FTP吗？ 中小型企业？ HTTP？ 此解决方案不会将其他协议暴露给外界（请不要将SMB暴露给外界，否则将导致悲剧）。 外部用户需要上传这些文件吗？