Web/APの分離
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>プラットフォーム・アーキテクチャ]]
* 目次 [#n093fddf]
#contents
*概要 [#n3bcb523]
Apache/Tomcat構成と異なり、IIS/ASP.NETは不可分になり、~
デザインパターンの質問を受けることが何度かあったので纏め...
*Web/APの分離 [#t89a3d1a]
-ASP.NETのみのシステムで、WebサーバとAPサーバを分けること...
-Apache/Tomcat構成と異なり、基本、IIS/ASP.NETは不可分。~
ただし、レア・ケースで、物理階層を追加することはある。
*階層追加の理由 [#j0bc7f3d]
分けることがある場合、どのような理由でWebサーバとAPサーバ...
-セキュリティ・レベルが向上するため。
-Webサーバ上のセキュリティ・ホールを直接突かれないように...
--IIS/ASP.NET上にコードが載るので、それが漏れない様にする。
--など、など。
*分離&配置方法 [#u53ed825]
-分けることがある場合、Webサーバ、APサーバへのアプリケー...
-以下の2パターンが一般的。
**箱モノ系 [#nac74a81]
ARRやISAなどをフロントに立て、~
問題のあるリクエストでは無いことを検証してから~
バックのWeb/APへ要流を流すというパターン。
-ISA Server 2004 パフォーマンスに関するヒント集~
http://technet.microsoft.com/ja-jp/library/cc302518.aspx
>アプリケーション フィルタと Web フィルタ
-URL 書き換えモジュールの使用~
http://technet.microsoft.com/ja-jp/library/dd939109.aspx
--IIS 7.0 での要求のフィルタリングと URL の書き換え~
http://technet.microsoft.com/ja-jp/library/dd939073.aspx
---要求のフィルタリングと URL 書き換えの違い
-ARR の主要な概念と機能~
http://technet.microsoft.com/ja-jp/library/ee683921.aspx
--ARR は受信要求を検査し、HTTP ヘッダおよびサーバ変数に基...
-アプリケーションの要求のルーティング~
http://technet.microsoft.com/ja-jp/library/ee683905.aspx
--アプリケーションのユーザー インターフェイス (UI) ヘルプ...
http://technet.microsoft.com/ja-jp/library/dd443531.aspx
---アプリケーションの要求のルーティングのページ~
http://technet.microsoft.com/ja-jp/library/dd443533.aspx
**ゲートキーパー・デザインパターン [#eaab229f]
-[[上記(ARRやISA)>#nac74a81]]では、
--HTTP Request Bodyを検査するのはできない。
--なので、一度、Web/APでリクエストを受けてから、要求を検...
-以下、ゲートキーパー・デザインパターンの説明。
***配置 [#f00ac24c]
配置は以下の様になる。
-Web APIの場合(追加)
--フロントのIIS/ASP.NET(検査層)
--バックのIIS/ASP.NET(B層、D層)
-Webアプリケーションの場合(分割)
--フロントのIIS/ASP.NET(P層)
--バックのIIS/ASP.NET(B層、D層)
構成としてやや複雑で高級。
***役割 [#ka8357a5]
-フロントのIIS/ASP.NETは、GateKeeper
--DMZのフロント・エンド
--HTTP Request Bodyを検査する
-バックのIIS/ASP.NETは、KeyMaster
--DMZの裏のバック・エンドに引き込む。
--バックエンドのストレージにアクセスする鍵を持つ
***通信 [#k7aad2f2]
フロントのIIS/ASP.NETとバックのIIS/ASP.NETの通信方法。
-ASP.NET Webサービスや[[WCF]]、[[ASP.NET Web API]]を使用...
Open棟梁では、[[通信制御機能>http://opentouryo.osscons.jp...
-他にもASP.NETからCOM+(DCOM)や、.NET Remotingを使用して~
DMZの裏のバックエンドのInternalポートに引き込むパターンも...
[[これらのプロトコルは主流ではなくなってきている。>RPC#j1...
-通信に、非同期のストレージ・キューを使用するパターンは、~
マルチキー・デザインパターンというパターンになる。
***設計目標 [#c511a246]
-GateKeeprは、リクエストを受けてから、要求を検査する。
-GateKeepr にDBMSの接続文字列やストレージキーを持たせず、~
DBや、ストレージへのアクセスは KeyMaster だけが行う。~
(ビジネス・ロジックなどもKeyMaster だけが持つ)
-仮に GateKeeper への攻撃が成功しても、~
低い権限しか奪取することができないようにする。
終了行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>プラットフォーム・アーキテクチャ]]
* 目次 [#n093fddf]
#contents
*概要 [#n3bcb523]
Apache/Tomcat構成と異なり、IIS/ASP.NETは不可分になり、~
デザインパターンの質問を受けることが何度かあったので纏め...
*Web/APの分離 [#t89a3d1a]
-ASP.NETのみのシステムで、WebサーバとAPサーバを分けること...
-Apache/Tomcat構成と異なり、基本、IIS/ASP.NETは不可分。~
ただし、レア・ケースで、物理階層を追加することはある。
*階層追加の理由 [#j0bc7f3d]
分けることがある場合、どのような理由でWebサーバとAPサーバ...
-セキュリティ・レベルが向上するため。
-Webサーバ上のセキュリティ・ホールを直接突かれないように...
--IIS/ASP.NET上にコードが載るので、それが漏れない様にする。
--など、など。
*分離&配置方法 [#u53ed825]
-分けることがある場合、Webサーバ、APサーバへのアプリケー...
-以下の2パターンが一般的。
**箱モノ系 [#nac74a81]
ARRやISAなどをフロントに立て、~
問題のあるリクエストでは無いことを検証してから~
バックのWeb/APへ要流を流すというパターン。
-ISA Server 2004 パフォーマンスに関するヒント集~
http://technet.microsoft.com/ja-jp/library/cc302518.aspx
>アプリケーション フィルタと Web フィルタ
-URL 書き換えモジュールの使用~
http://technet.microsoft.com/ja-jp/library/dd939109.aspx
--IIS 7.0 での要求のフィルタリングと URL の書き換え~
http://technet.microsoft.com/ja-jp/library/dd939073.aspx
---要求のフィルタリングと URL 書き換えの違い
-ARR の主要な概念と機能~
http://technet.microsoft.com/ja-jp/library/ee683921.aspx
--ARR は受信要求を検査し、HTTP ヘッダおよびサーバ変数に基...
-アプリケーションの要求のルーティング~
http://technet.microsoft.com/ja-jp/library/ee683905.aspx
--アプリケーションのユーザー インターフェイス (UI) ヘルプ...
http://technet.microsoft.com/ja-jp/library/dd443531.aspx
---アプリケーションの要求のルーティングのページ~
http://technet.microsoft.com/ja-jp/library/dd443533.aspx
**ゲートキーパー・デザインパターン [#eaab229f]
-[[上記(ARRやISA)>#nac74a81]]では、
--HTTP Request Bodyを検査するのはできない。
--なので、一度、Web/APでリクエストを受けてから、要求を検...
-以下、ゲートキーパー・デザインパターンの説明。
***配置 [#f00ac24c]
配置は以下の様になる。
-Web APIの場合(追加)
--フロントのIIS/ASP.NET(検査層)
--バックのIIS/ASP.NET(B層、D層)
-Webアプリケーションの場合(分割)
--フロントのIIS/ASP.NET(P層)
--バックのIIS/ASP.NET(B層、D層)
構成としてやや複雑で高級。
***役割 [#ka8357a5]
-フロントのIIS/ASP.NETは、GateKeeper
--DMZのフロント・エンド
--HTTP Request Bodyを検査する
-バックのIIS/ASP.NETは、KeyMaster
--DMZの裏のバック・エンドに引き込む。
--バックエンドのストレージにアクセスする鍵を持つ
***通信 [#k7aad2f2]
フロントのIIS/ASP.NETとバックのIIS/ASP.NETの通信方法。
-ASP.NET Webサービスや[[WCF]]、[[ASP.NET Web API]]を使用...
Open棟梁では、[[通信制御機能>http://opentouryo.osscons.jp...
-他にもASP.NETからCOM+(DCOM)や、.NET Remotingを使用して~
DMZの裏のバックエンドのInternalポートに引き込むパターンも...
[[これらのプロトコルは主流ではなくなってきている。>RPC#j1...
-通信に、非同期のストレージ・キューを使用するパターンは、~
マルチキー・デザインパターンというパターンになる。
***設計目標 [#c511a246]
-GateKeeprは、リクエストを受けてから、要求を検査する。
-GateKeepr にDBMSの接続文字列やストレージキーを持たせず、~
DBや、ストレージへのアクセスは KeyMaster だけが行う。~
(ビジネス・ロジックなどもKeyMaster だけが持つ)
-仮に GateKeeper への攻撃が成功しても、~
低い権限しか奪取することができないようにする。
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
