我一直在编写WCF服务供内部使用很长一段时间(与WinForms和MVC Web应用程序一起)。但是,我现在需要将其中一项服务暴露给伟大的未洗过的!
由于这是来自单一来源公司,我提出以下建议:
建筑
然而,我的IT经理想要的不仅仅是这个......还有更多......详细。
e.g。
我也可以理解他的理由 - 如果一切都进入ttsup,那么他带着罐头......这意味着最终我带着罐子!从大型机和IBM / Websphere的背景来看,他所听到的只是IIS“不安全”。
我怀疑他真正听到的是“开发者/管理员没有正确保护IIS / WCF”......所以我想尝试“正确”地做到这一点!
(有关信息,我正在浏览Troy Hunt's posts ...但这里有很多内容!我已经尝试通过MSDN的“孩子们绘图纸”并找到非常难以提取的东西我需要从无尽的“让这个段落变得更长,听起来更重要,同时隐藏显着的事实”填充物!)
答案 0 :(得分:2)
Windows Server和IIS是安全的。但是,如果您打算将其用于信用卡交易或其他您不会落入坏人手中的物品,那么您需要比开箱即用的设置更安全地保护服务器。
这是我最近使用IIS 7.5(修补到当前标准)敲击Windows 2008 R2服务器的指南。您不必全部使用它们,但它将有助于在极其精细的级别上保护服务器。此外,下面的IIS链接适用于7.0,但它也适用于7.5。
Windows Server 2008 r2
http://web.nvd.nist.gov/view/ncp/repository/checklistDetail?id=377
IIS
http://web.nvd.nist.gov/view/ncp/repository/checklistDetail?id=400
您将很快看到这需要一些时间,但您可以展示需要采取哪些措施来保护服务器和产品免受开箱即用设置的影响。您还可以制定一份文件,以便向您的老板提供保护服务器所需的资料。