Назад | Перейти на главную страницу

Доступ к файлам, расположенным на файловом сервере, из DMZ

Мне нужно установить новое решение ASP.NET MVC, в котором прошедшие проверку пользователи могут загружать файлы (изначально расположенные во внутренней сети). По соображениям безопасности доступ к внутренней сети из DMZ не рекомендуется, поэтому я думаю о способе «копировать» эти файлы из внутренней сети в DMZ один раз в день, как описано на схеме ниже.

А. Файлы и папки управляются кем-то, кто подключен к компьютеру во внутренней сети.

Б. Раз в день файлы и папки копируются в DMZ. Эти файлы никогда не копируются обратно во внутреннюю сеть.

С. Авторизованные пользователи подключаются через Интернет к приложению ASP.NET MVC. Это приложение отображает списки имен файлов, отфильтрованные по именам папок. Пользователи могут щелкнуть имя файла, чтобы загрузить его.

Это хороший подход? Обратите внимание, что рассматриваемые файлы не являются критическими и могут находиться внутри DMZ.

В общих чертах, да, вы хотите «протолкнуть» файлы из внутренней сети в DMZ (сеанс, инициированный с компьютера во внутренней сети), а не «тянуть» файлы в DMZ из внутренняя сеть (сеанс, инициированный с компьютера в сети DMZ). Так настроены правила по умолчанию на многих [аппаратных] межсетевых экранах - трафик разрешен из более безопасные сети к менее безопасные сети, но не наоборот:

Внутренний -> DMZ -> внешний

Вероятно, вам даже не нужно ограничивать передачу файлов до одного раза в день, если DMZ не разрешено инициировать сеансы во внутренней сети, нет заметной угрозы безопасности от разрешения непрерывной "синхронизации" файлов в реальном времени из внутри DMZ. Единственным реальным ограничением будет неиспользование настоящей технологии синхронизации или репликации, которая требует связи с обеих сторон (поэтому что-то вроде DFS-R, вероятно, не будет хорошим выбором). Даже такая простая вещь, как robocopy / MIR работа работа на внутреннем сервере звучит так, как будто это подойдет для ваших целей.