マルチハードウェア層を使用してASP.Netアプリケーションを保護する

Question

私は機密情報をレンダリングするASP.Netアプリケーションを持っています。アプリケーションのメインページを表示する前に、ユーザーがログオンする必要があります。認証はWebサービスを介して行われます。

これは簡単ですが、ハードウェア設計は多階層です。 1）ログオン用のWebサーバー2）メインアプリケーション用のアプリケーションサーバー3）データベース

セキュリティを処理する個別のASP.netアプリケーションをTier 1に書き込む必要がありますか、またはアプリケーションがどういう形にとどまるのでしょうか？

個別のアプリケーションが必要な場合、認証時に収集された情報をどのようにしてTier 2に渡すのですか。情報が別のサーバー上にあるため、セッション変数が機能するかどうかはわかりません。

Tier 2からTier 3への通信は、私が立ち往生しているだけのセキュリティモデルです。

明らかに、何らかの種類のパケット検出が必要なので、ユーザーがTier 1で検証する必要があり、検証された場合はTier 2に渡す必要があります。ウェブおよびサーバー -

おかげ

Answer 1

Webサーバー、Webサービスとデータベースサーバーを備えたアプリケーションサーバーを決定しました。私もセキュリティWebサービスを使いました。

Answer 2

は、私は2つだけの層を使用することをお勧めします。実装がはるかに容易になり、エラーが発生しにくくなります。フォーム認証セクションにright settingsを適用するだけです。
SSLを使用してください。また、SQLインジェクション、権利管理、不正なデータアクセス（ポスト/データの改ざんによる）、XSSなどのアプリケーションのセキュリティテストを検討してください。
そしてthis related questionをチェックすると、役に立つ情報が得られます。