我需要建立一个新的 ASP.NET MVC 解决方案,让经过身份验证的用户可以下载文件(最初位于内部网络上)。出于安全原因,不建议从 DMZ 访问内部网络,因此我想到一种方法,每天将这些文件从内部网络“复制”到 DMZ,如下图所示。
A。 文件和文件夹由连接到内部网络内的计算机的人员管理。
B. 每天一次,文件和文件夹都会被复制到 DMZ。这些文件永远不会被复制回内部网络。
C。 授权用户通过互联网连接到 ASP.NET MVC 应用程序。此应用程序显示按文件夹名称过滤的文件名列表。用户可以单击文件名进行下载。
这是一个好方法吗?请注意,相关文件并不重要,并且可以位于 DMZ 内。
如果这是一个好方法,那么将文件和文件夹从内部网络复制到 DMZ 的最佳方法是什么?
如果没有,有什么建议吗?
答案1
从广义上讲,是的,您想要做的是将文件从内部网络“推送”到 DMZ(从内部网络上的计算机发起的会话),而不是将文件从内部网络“拉”到 DMZ(从 DMZ 网络上的计算机发起的会话)。这是许多 [硬件] 防火墙上的默认规则的配置方式 - 允许流量从更安全的网络到安全性较差的网络,但一般来说并非如此:
内部 -> DMZ -> 外部
您可能甚至不必将文件传输限制为每天一次,只要不允许 DMZ 发起进入内部网络的会话,允许从内部到 DMZ 的持续/实时文件“同步”不会带来明显的安全威胁。您唯一真正的限制是不使用需要双方通信的真正同步或复制技术(因此像 DFS-R 这样的东西可能不是一个好的选择)。即使是像robocopy /MIR 作业在内部服务器上运行听起来可以满足您的目的。