WCF service bag firewall udstillet til en specific tredje part

Selvfølgelig er det muligt.

Der må være masser af forskellige måder at gøre det på:

1) put en regel i jeres firewall som kun tillader adgang til visse URL'er fra visse IP addresser

2) put servicen i en separat web app og konfigurer IIS til kun at tillade adgang fra visse IP adresser (jeg ved faktisk ikke hvordan man gør det i IIS, men jeg er ret sikke rpå at man kan)

3) konfigurer et HttpModule som tester alle requests for URL og IP adresse

4) lad selve service koden fiske IP adressed ud med HttpContext.Current.Request.UserHostAddress og give fejl hvis den ikke matcher

Mange tak for feedback...har du en foretrukken måde ud af de tre muligheder? Synes nr. 1 virker ret ligetil, men sikkerhed er alpha omega her :)

Hm.

Jeg ville nok lave både #1 og #3.

To checks giver lidt ekstra sikkerhed.

#3 er nem at lave.

#4 er noget gris fordi man ikke kan genbrug servicen med en anden transport.

Et sidste spørgsmål. Udstilling af vores WCF skulle gerne være nem at tilgå. Det burde være muligt at sætte noget DNS op, så det er den adresse den tredje part hooker sig på, som så resolver til den interne IP. Eller hvordan er det bedst? :)

Omkring pkt 1 er der en speciel port, man bør lade kommunikationen køre igennem?

Naar I hoster en WCF service i ASP.NET saa skal der naturligvis bruges den port som ASP.NET bruger inde i DMZ.

Den ydre firewall kan mappe en hvilken som helst port til server den IP adresse og port.

Vores WCF er ikke hosted i DMZ, men på indersiden af vores firewall. Vi har en sikker fiber forbindelse mellem den tredje part og os.

Saa laeste jeg det originale spoergsmaal forkert.

Principielt er svaret dog det samme.

ASP.NET bruger en port paa den server hvor servicen koerer.

Den ydre firewall forwarder en port som kan vaere den samme eller en anden til den.

Detaljerne kan dog godt vaere lidt anderledes.

ydre port X----firewall----indre port Y----service
                |
              port 80
                |
            DMZ web app

er den simple model. Firewall forwarder ekstern trafik til port X
til den indre port Y.

ydre port X----firewall 1----DMZ port Y----firewall 2----indre port Z----service
                        |
                    port 80
                        |
                  DMZ web app

Firewall 1 forwarder ekstern trafik til port X til firewall 2 port Y. Firewall 2 forwarder trafik til port Y til den indre port Z.

                    proxy server i DMZ
                        |
                      port W
                        |
ydre port X----firewall 1----DMZ port Y----firewall 2----indre port Z----service
                        |
                    port 80
                        |
                  DMZ web app


Firewall 1 forwarder ekstern trafik til port X til proxy server port W. Proxy server forwarder trafik til firewall 2 port Y. Firewall 2 forwarder trafik til port Y til den indre port Z.

Kompleksitet og sikkerhed stiger naar du gaar nedad.

Men dette her er ikke noget som software skal designe.

Det her er noget som netvaerks og sikkerhedsfolkene skal designe.

Det her ACSII grafik ser saa gyseligt ud.

Jeg haaber at du kan tolke det.

Hvis ikke saa drop mig en email og jeg kan emaile din en paenere tegning.

He he he he nu er jeg heller ikke en ASCII art fan, men det ser ret godt ud. En tegning ville være lækkert.

min email adresse:
zorro.guy@hotmail.com

Jeg kan muligvis og tegne et billede af det, jeg ønsker.

PS! Er du stadigvæk i USA?

Email sendt.

Ja - jeg bor stadig i Rhode Island.

og et svar

så mangler du bare at acceptere svaret

tak for hjælpen...er lige kommet tilbage fra ferie i udlandet...derfor den sene respons.