如何通过防火墙向数据层发送安全请求

Question

我被要求用数据库中的一些数据填充闪存文件。我说：“太好了，我将编写一些与数据库对话并输出 xml 的 PHP。swf 可以调用该文件。”

然后我的老板告诉我，这个解决方案不符合 IS 的要求，我必须找到一种更安全的方法来做到这一点。啊!

我提出的解决方案是创建一些位于公司防火墙之外的业务逻辑。动作脚本将向该文件发出请求，该文件将向位于防火墙后面的中间层发送安全请求。中间层将通过连接到数据库并通过同一安全连接通过防火墙返回适当的数据来处理请求。然后业务逻辑输出 xml，大家都很高兴。

我已经绘制了我想要做的事情以使其非常清楚： http://twitpic.com/2kj0tk

以下是我的问题：

1. 此解决方案是否符合行业最佳实践？
2. 它会起作用吗？
3. 我需要在每一层中编写哪些代码才能建立安全连接并通过防火墙传输数据？我想也许我可以使用 cURL，但我不知道这是否可以通过防火墙。如果可能的话，有人介意如何解决这个问题，并提供代码示例吗？
4. 可能最终我不得不在 .NET 中编写解决方案。这将如何改变我的方法？4。
5. 您还需要我提供哪些其他信息（如果有）来帮助解决此问题？

谢谢你们！

Answer 1

根据您保护的数据类型以及 IT 部门的安全意识，“真正”的解决方案是将您的数据库服务器置于自己的防火墙后面（是的，在您的公司网络内部）。您的中间层将通过此防火墙使用标准协议与数据库进行通信。

您的中间层在“主”防火墙后面运行（这里可以有不同的级别，但最简单的是，这是您的网络和互联网之间的防火墙）。

您的 Web 服务器位于此“前”防火墙之外的 DMZ 中，因此所有进出它们的流量（包括来自互联网）都必须通过此前防火墙。

此时，您可以使用标准技术从网络服务器到中间层进行通信。然后，您的中间层使用标准技术与数据库进行通信。我同意让您的网络服务器直接与数据库对话并不是一个好主意。

我对老板的问题是“为什么原来的解决方案是一个坏主意？”。他们想要通过内部网络加密数据吗？或者只是网络服务器 ->数据库服务器连接很麻烦（我同意）？