安全地从Web服务访问Windows网络共享

时间:2013-10-25 03:45:43

标签: web-services security network-share

我们开发了一个RESTful Web服务,它需要访问网络共享才能读写文件。这是面向公众的Web服务(通过SSL运行),需要员工使用指定的用户名和密码登录。

此Web服务将在DMZ中运行。从DMZ访问网络共享似乎并不“正确”。我冒昧地猜测,这样做的“安全”方式是在域中提供另一个 与我们的Web服务对话的服务。这样,如果有人想要利用它,他们将不得不通过Web服务找到一种方法,而不是通过已知的系统API。

我的解决方案“正确”吗?还有更好的方法吗?

注意:

  • Web服务在IIS下运行。
  • Web Service当前在可访问网络共享和访问SQL数据库的帐户下运行。
  • Web服务仅适用于指定的员工,而不是公众。
  • 我是开发人员,而不是IT专业人员。

1 个答案:

答案 0 :(得分:0)

使用内部资源的某种vpn怎么样?有一些非常好的解决方案,开放网络共享到互联网似乎有太大的风险。

除此之外,当攻击者使用这些网络服务闯入您的DMZ主机时,他可以使用相同的API闯入您的内部服务器,除非您能够负担得起创建两个完全不同的解决方案。

当直接从DMZ访问文件服务器时,您将使用防火墙限制这些连接,因此即使在破坏您的DMZ主机后,攻击者也无法执行“所有操作”,只能读取(写入?)这些服务器。

我建议#2