Cómo revertir la comunicación por seguridad

Está describiendo una aplicación web típica de múltiples niveles.

Internet - Firewall - DMZ - Firewall - Red interna

La arquitectura de seguridad de múltiples niveles típica coloca el servidor de aplicaciones en la red interna y el servidor web (sin lógica empresarial / de aplicaciones) en la DMZ. Permitir el tráfico de Internet a su DMZ, solo a su servidor web, en el puerto 80 y / o 443. Permitir el tráfico desde la DMZ, solo desde el servidor web a la red interna, a su servidor de aplicaciones solamente, en cualquier puerto ) es obligatorio y no más.

Todas las comunicaciones a su aplicación web terminan ahora en su DMZ, protegiendo la lógica de negocios y cualquier base de datos de back-end que esté utilizando del ataque.

¿Por qué tiene servidor web en intranet? ¿Hay alguna razón especial para esto? El lugar lógico para el servidor web es DMZ.

DMZ debe estar separado de la intranet por un firewall y de Internet por otro.

Puede colocar Proxy inverso en su red externa, pero de todos modos tendrá que abrir la comunicación de RP a su servidor web.

Espero que esto te ayude.

Saludos

Usualmente haces lo siguiente: 1. Establezca una dirección IP externa para este servidor. 2. Agregue una entrada de DNS externa para esa dirección IP para su aplicación. 3. Agregue una ruta a su firewall que pase el tráfico 80 (o 443) para esa IP externa a su servidor web interno.

Sus comentarios sobre una "Cola", etc. son ... interesantes. No estoy seguro de por qué configuraría un sistema de colas a menos que el servidor de aplicaciones sea un cuadro de servicios web y esté intentando exponer cierta funcionalidad. En cualquier caso, suena como una ingeniería excesiva que no le va a asegurar nada de seguridad.