DMZ内のIIS 7がファイアウォールの背後にあるDBサーバーにアクセスできるようにする安全な方法はありますか？

ネットワーク管理者は、DMZでホストされているWebサーバーがファイアウォールの背後にあるDBサーバーにアクセスすることは安全ではないと断言しています。問題を回避するために、WebサービスまたはWCFを介してデータにアクセスします。これは、WebサーバーがDBに直接アクセスできれば解消できる不必要なパフォーマンス負荷だと思います。

私が与えられた理由は、ハッカーがWebサーバーにログインしてDBにアクセスできたためです。IIS専用のポートを開くことは可能ですか、それとも特定にすることはできませんか？IISのみにロックダウンできる場合、ハッカーはこれを簡単に構成できますか？

インターネットでさまざまな投稿を読みましたが、明確な答えを見つけることができないようです。

アル

大規模な企業向けにプラットフォームを設定しましたが、通常はデータベースがWebサーバーとは異なるVLANにあり、ファイアウォールがデータベースサーバーポートへのルーティングトラフィックとWebの前のファイアウォールの間にあることを確認しますサーバー。通常、フロントファイアウォールはポート80（HTTP）とポート443（HTTPS）をWebサーバーに転送します。ファイアウォールは、Webサーバーとデータベースサーバーの間にあり、Webサーバーからデータベースで使用されるポート（Microsoft SQL Serverを使用する場合は通常ポート1433）にトラフィックを転送します。

セキュリティを強化するには：

• 最小限の特権を持つアカウントを使用してデータベースサーバーにアクセスするようにしてください
• ASP.NETを使用している場合、web.configでデータベース接続文字列を暗号化できます
• 脆弱性について助言するために、侵入テストを実施するために、第三者企業を雇います
• 定期的にアップデートおよびサービスパックがインストールされていることを確認してください。

データベースがMI6またはCIAデータベースである場合、ネットワーク管理者はおそらく正しいでしょうが、私も過剰に反応しているようです。

データベースにパブリックネットワークに絶対に公開できないデータが含まれているが、データベースに必要なデータがそれほど機密ではない場合、Webサイトが必要とするテーブルをホスティング環境にあるデータベースに複製することを検討できますか？

私は彼らに質問をしたい：

• ハッカーがWebサーバーにアクセスした場合、ハッカーはWebサービスを呼び出すことができますか？
• IISでWebサーバーへのアクセスを可能にする脆弱性が発見された場合、WebサービスをホストしているWebサーバー上の同じ脆弱性を悪用するだけでしょうか？
• メモリ内のパスワードを盗聴するためのユーザー入力を監視するソフトウェアをインストールできますか？

Webサーバーをファイアウォールの内側に配置することもできます。ポート80を正しいサーバーに転送するだけです。Webサーバーが必要としない他のすべてのポートは、ほとんどの外部ファイアウォールで閉じる必要があります。次に、Webサーバーとデータサーバーの間にファイアウォールが必要です。そのファイアウォールでは、データベースが通信するポートのみを開くことができます。

ここに図があります

インターネット->ファイアウォール-> Webサーバー->ファイアウォール->データベース

参考までに、私は開発者ですが、私たちは小さな店なので、会社のITスタッフとよく仕事をしています。