Proxy Web vs Port Forwarding:
Il proxy è più semplice da dirottare e riconfigurare (è un'applicazione), quindi le tabelle di routing del kernel ecc. Inoltre, il proxy Web creerà più carico dello stack TCP / IP del kernel. Quindi il proxy è peggio dal punto di vista della sicurezza e del carico della macchina.
Problema di architettura:
Ogni configurazione in cui si consentono connessioni da DMZ a rete interna è errata e dovrebbe essere evitata. Il problema è in
I need to access the SOAP-service (internal network) from the web server (DMZ).
Non è come dovrebbe funzionare DMZ. Creiamo DMZ per separare i servizi di fronte al mondo esterno (Internet) dalla rete interna, quindi quando (perché è davvero QUANDO, non SE) sono stati compromessi, l'attaccante non può spostarsi facilmente per sfruttare la rete locale.
Soluzione suggerita:
È possibile creare una seconda DMZ limitata per il servizio SOAP e cofattare il port forwarding solo per il traffico proveniente dal proprio servizio Web in DMZ e nella rete interna. In questo modo il servizio SOAP è protetto allo stesso modo di quando si trova nella rete interna, ma inoltre, quando viene compromesso, non si apre la rete interna all'attaccante.