若何受权web服务器供应安全数据库拜候[服务器安全]

答应Web用户拜候数据库是一项很精密的工作,需求认真的考虑,不能草率从事.

TechRepublic会员E Spigle 近来在TechRepublic Technical 的Q&A forum上提出了下面这个问题:

我们正在举行一项工作,把一个很老的FoxPro系统转换成我所工作的公司里的MS SQL / VB系统.我们已经在内部遍及地利用了SQL数据库.它目前位于我们局域网的防火墙之后,只能支持内部利用.但是我们的一部份转换程序带来了一些Web联机利用.目前我们就面对一个两难的局面,我们必须为了让Web用户和局域网的用户可以同时拜候同一个数据库找到一个好的办理办法.目前我们的IIS 6.0 Web server在DMZ.若何可以让web服务器为网络利用供应数据库拜候呢?

问题解析

这是个很有意思的问题,第一眼看起来很简单,但是当你再对它举行深化考虑后,你就会发现它的复杂之处.任什么时刻候,当你想要使数据库具有互联网拜候本领时,都有很多问题需求考虑.我首先会考虑的问题就是“我们处理的是什么范例的数据?”和“信息的敏感程度若何?”

我会考虑这两个问题的缘由是我需求肯定这些数据可以承受多大的风险.假如不可以承当任何风险,我大概会投入很多的资源和精神来保证我的数据尽大概不受侵害.但是,假如可以承当一定的风险,我会谨严从事,但不会采取极度手段.比方,假如数据是一个病人的医疗历史信息,我就会不遗余力地保护数据安全,这就意味着不通过IIS衔接,不利用SQL Server.

在我具体阐明从前,我要声明,我对微软并没有成见.我仅仅是要避免风险.微软的产品可以被很好地保护,并且在上述的情形下工作杰出.但是,由于它的风行性,微软的产品更简单成为病毒,蠕虫、黑客和诸如此类攻击的靶子.在关于风险承受本领对比低的环境里避免利用微软的产品,这样就可以够削减我的麻烦.

并且,按照数据所可以承当的风险程度,我将决意能否需求在web服务器和数据库之间举行加密,以及数据在数据库里能否需求加密.假如我们但愿可以得到最高的安全性,我就会挑选利用内置的大概第三方的加密软件.假如数据关于安全性要求不是那么高,我就会挑选根本不加密,大概挑选初级别一些的加密办法.

最后,我还需求决意利用什么样的衔接来拜候数据库.假如加密是必须的,大概/并且拜候是通过客户服务器软件来举行(好像问题里描写的那样),那么我就需求利用VPN和一个利用层的代理.并且,我大概会考虑在我的Web服务器和数据库之间,设置一个利用服务器.

关于上面这些问题的答案帮忙我计划数据库拜候的环境.

搭建系统

我假定在E Spigle问题中所描写的数据的敏感程度不是非常高,所以利用IIS和SQL Server是可以被承受的.具体如图A所示:

图A:网络筹划

如图A所示的网络通信中,80端口的HTTP大概1443只被答应到达Web服务器.然后Web服务器通过1433端口,通过TCP协议同SQL服务器举行通信.另一种办法,是利用微软的ISA服务器作为转换代理,并答应它掌握与SQL服务器的通信.

无论你挑选哪一种,都有一系列问题需求考虑,以确保你的SQL Server数据库的安全.这些问题在网上可以查到,它们包含了比方保护你的Windows服务器,保护IIS,保护SQL Server,处理Web服务器同SQL server的通信问题,这包含了认证、协议等等方面的问题.幸运的是微软在MBSA(Microsoft Baseline Security Analyzer)供应了一些帮忙.

最后,你的开辟人员和数据库管理员还需求把一系列尺度和程序交融到利用代码和数据库中,以把安全风险降到最低.

最佳筹划和可承受的风险

本篇文章报告了在一个看起来很简单的问题背后的一些复杂之处,“怎样才能最好地让网络利用通过web服务器拜候数据库?”大概还有资金的压力,但终究,会归结为在可承受的风险程度和投入之间的均衡问题.这是每一个面对这个问题的人都需求考虑的. 　　以上是“若何受权web服务器供应安全数据库拜候[服务器安全]”的内容，如果你对以上该文章内容感兴趣，你可以看看七道奇为您推荐以下文章：