У меня есть веб-сервис (ASMX) с несколькими веб-методами на нашем веб-сервере производства. На отдельном внутреннем веб-сервере (который не публично открыт) у меня есть другой веб-сайт, который будет использовать общедоступные веб-методы ASMX. Каковы некоторые из лучших способов защиты веб-сервиса, так что только внутренний веб-сервер может получить доступ к веб-службам, запущенным на общедоступном веб-сервере?Защита веб-службы
Одним из самых простых способов является передача учетных данных в заголовок мыла сообщения. Таким образом, каждый вызов проходит по информации, необходимой для определения того, разрешен ли пользователь. WSE делает некоторые из них более легкими, но одно из самых кратких описаний этого процесса можно найти в книге Рокки Лхотки о Business Objects. Я получаю много книг для обзора издателями, и у этого было лучшее объяснение.
Предполагая, что у вас нет возможности использовать WCF, я бы защищал использование WSE 3 (улучшения веб-сервисов). Вы можете получить toolkit/SDK thingummy по адресу MS's site
Чтобы ограничить доступ только к внутренним машинам (как я думаю, ваш вопрос задан), я бы установил отдельный веб-сайт в IIS и настроил его только на внутренний IP-адрес вашего сервера.
Я бы установил правило брандмауэра, чтобы ограничить доступ к белым спискам IP-адресов.
Используйте IIS directory security IP address restrictions и ограничивайте доступ только к этому IP-адресу внутреннего веб-сервера.
Если вы не можете этого сделать, и вы не можете установить имя пользователя/пароль в каталоге, затем используйте WSE и добавьте имя пользователя/пароль в службу или посмотрите сертификаты, если хотите какое-то удовольствие grin
Возможно, я не понял правильно, но зачем публиковать веб-методы вообще, если они будут потребляться только внутренним сервером?
В этот момент мне приходит в голову, что IP-фильтрация на IIS. Быстро применять, должен работать в вашем сценарии.
TLS с сертификатами клиентов. См. Wikipedia entry, чтобы начать.
Простой HTTP-модуль будет работать. Просто hardcode (или из config) разрешенный IP/хост и отклоняйте все остальные.
Помните, что there are ways around IP-адреса для белых. Не поймите меня неправильно, это отличная идея, и вы должны это делать определенно, но если ваш бюджет/ресурсы позволяют это, вы можете расширить свою модель угрозы.
Если это только внутренний сервер, который будет обращаться к файлам asmx? Вы можете настроить их в IIS на отдельном веб-сайте или в виртуальном каталоге, а затем установить некоторые ограничения на IP-адрес на сайте. В свойствах перейдите в раздел «Безопасность каталога», затем «Ограничения IP-адреса и доменных имен».
Кроме того, для паролей WSE 3 является новым, но я нашел простой способ в книге из Apress, называемой «Pro ASP.NET 2.0 в C# 2005», глава 34. (Примечание: более новая версия этой книги исключает эту главу.) Этот раздел представляет собой обычную аутентификацию на основе Ticket.
Books24x7 и подписки на сафари на помощь :) Я рассмотрю главу 34. Thx. – Bullines 2008-09-23 14:49:16
На самом деле, вы правильно понимаете, я думаю. Это заставляет меня задаться вопросом, почему веб-сервис даже отображается через переадресацию портов ??? – leppie 2008-09-23 14:01:29