Развертывание веб-службы Biztalk в DMZ

Question

У нас есть DMZ с веб-сервером IIS и BizTalk 2009 в локальной сети.

Я хотел бы знать, каков наилучший способ развертывания веб-службы BizTalk, чтобы она была общедоступной наИнтернет, но в соответствии с рекомендациями по обеспечению безопасности.

Должны ли мы развернуть сгенерированную BizTalk веб-службу в окне IIS?

Должны ли мы разместить веб-службу в окне BizTalk и выставить BizTalk намир (только для определенных портов и определенных внешних IP-адресов)?

Должны ли мы использовать IIS в качестве обратного прокси-сервера и размещать веб-службу на BizTalk?

Любое руководство высоко ценится.

Answer 1

Я бы серьезно подумал о том, чтобы отделить веб-сервис от архитектуры BizTalk и не использовать встроенный опубликованный веб-сервис в настройках DMZ.Создайте веб-службу самостоятельно и дайте ей возможность замаскировать действующий веб-сервис BizTalk и просто пробейте дыру в брандмауэре, разрешив соединение с веб-сервисом BizTalk.Взгляните здесь .

Answer 2

Одним из вариантов является внутреннее развертывание служб с помощью BizTalk, но подключение их к служебной шине Azure и использование их для предоставления их внешнему миру. BizTalk WCF поддерживает релейные привязки, используемые для связи с сервисной шиной.

После настройки следует меньше беспокоиться (за исключением счета Azure, я думаю;)), но он также хорошо связан с контролем доступа, предоставляя вам детальный контроль доступа к тому, кто может делать что и т. Д.

Answer 3

Добавление к комментарию Брайана. Это можно сделать очень простым способом, используя шлюз WSO2 Cloud Services (CSG).Что нужно сделать, это развернуть CSG вне брандмауэра (возможно, в DMZ) и опубликовать на нем свой сервис.и это все.

Для получения дополнительной информации проверьте: http://wso2.com/cloud/connectors/services-gateway