Basado en la información limitada:
Como mínimo, busca las capas de seguridad que intentas lograr.
- Llamaremos a esto DMZ. Esta es la capa a la que se accede a la Aplicación A, o más simplemente, el punto de entrada para su configuración. No quieres a nadie más allá de este punto.
- La siguiente capa es el backend. Esta es su aplicación B y está intentando restringir el acceso a esta aplicación solo a través de la Aplicación A.
A nivel de red, su mejor opción es a través de la lista blanca de IP / nombres de dominio. Si realmente solo estás en desarrollo, y básicamente estás tratando de restringir a los usuarios / otros desarrolladores para que no jueguen con un sistema que no está listo, simplemente mientras que el listado en tus servidores FW probablemente sea suficiente.
No es necesario tener un FW intermedio para algo tan básico (a menos que su desarrollo exija un cierto nivel de protección en el que sugeriría no usar estos foros y contratar a un profesional. Este lugar es excelente para obtener información, pero los compromisos específicos no se deben hacer aquí)
Debería conocer la IP y los Puertos de los que hablan la Aplicación A y B, que es lo que usted quiere en la lista blanca.
Si / cuando pones esto en producción, haría algunos cambios sugeridos.
- Dependiendo de su nivel de seguridad requerido, use un firewall dedicado para separar su DMZ del backend (es posible que su organización ya tenga esto).
- Utilice certificados firmados por terceros, creo que las mejores prácticas actuales son la longitud de clave mínima de 2048, las firmas SHA2, que se ejecutan en TLS 1.1 o superior.
- Asegure el en el nivel del servidor. Establezca su permiso de grupo correctamente, etc. para la aplicación. (No estoy incluyendo recomendaciones reales de seguridad del servidor, pero eso debería ser un hecho).
- Conozca su nivel de acceso a DMZ, y la aplicación interna no necesita ser accedida por direcciones IP externas, y su equipo de TI debe saber qué esquema de IP utilizan y si realmente están en la bola, sabrán qué rango de IP accederá a la aplicación para el grupo de usuarios dedicado.