我确信这是服务器管理员 101,但我不确定答案并希望得到一些帮助。
我是一名软件开发人员,我为客户开发了一款应用程序,目前已成功托管在 SliceHost 上。我们目前已完成 Beta 测试,客户希望将应用程序置于其防火墙内,但他们不想处理托管和维护服务器的麻烦。
有什么方法可以推荐我们将 SliceHost 的服务器置于其防火墙内吗?这容易做到吗?
他们的具体要求是:
- 为了让我的应用程序根据其 Active Directory 进行身份验证,并且
- 仅允许从其网络内访问应用程序
如果不可能的话,我应该向我的客户推荐什么?
答案1
不可以。如果他们希望将其“置于”防火墙“内”,那就意味着它在他们的网络中,在他们的位置,并且他们拥有并控制服务器 - 除非他们愿意付费将该服务器的管理承包给第三方。
除非他们所说的“在他们的防火墙内”有不同的含义,否则也许更充分地解释他们想要什么可能会引发更多的建议?
编辑 - 使用您的新信息,那么答案可能是。
- 为了让我的应用程序根据 ActiveDirectory 进行身份验证,
是的,如果 SliceHost 提供站点到站点 VPN 选项,那么您可以将其连接到他们的防火墙(假设它可以是一个端点),托管应用程序可以连接到他们的 AD。您还可以使用 LDAPS 并将 DC 的 LDAPS 端口公开到互联网。
- 仅允许从网络内部访问应用程序
是的,如果 Slicehost 提供上述站点到站点 VPN,则让服务器仅允许来自 VPN 的连接。或者,如果您知道客户办公室的源 IP 不会改变,请查看 SliceHost 是否可以限制主机仅允许来自这些 IPS 的连接。
答案2
我认为首先要弄清楚“防火墙内”的具体含义。
您是否可以将物理服务器放置在他们的网络上、防火墙内,并对其进行远程管理(对防火墙进行正确的更改以允许这样做)?当然,这是非常正常的做事方式。
除此之外,我想您可以创建一个 VPN,这样您的服务器(无论托管在何处)都可以通过 VPN 建立隧道,这样它就会“逻辑上”出现在防火墙内,尽管实际上并非如此。如果他们谈论的是这种事情,我想问他们希望通过这种方法实现什么,因为这实际上不是一种简单的做事方式。
我不想无礼,但我认为 IT 部门内部有几件事属于“如果你不得不问,那么你可能就不应该问”,摆弄 VPN 和防火墙设置就是其中之一(或者两个?),所以如果他们想要这样做,你需要非常小心你接下来要做的事情。我当然不会愿意让一个由合作伙伴组织管理但托管在随机(对我来说)第三方的服务器通过 VPN 连接到我的 LAN……这会带来很多潜在的中断和安全问题。