对虚拟机和物理机的小型(abt 15 服务器)网络进行子网划分的一般最佳实践是什么?
它应该有多细?您想为网络中的每个单独功能创建一个逻辑子网或 vlan 吗?
这里的指导方针一般是什么?
我还应该补充一点,这是一个小型网络,其唯一目的是为小型企业托管面向公众的网站和应用程序。除了来自互联网的用户外,不会有任何其他外部用户。
AskOverflow.Dev
对虚拟机和物理机的小型(abt 15 服务器)网络进行子网划分的一般最佳实践是什么?
它应该有多细?您想为网络中的每个单独功能创建一个逻辑子网或 vlan 吗?
这里的指导方针一般是什么?
我还应该补充一点,这是一个小型网络,其唯一目的是为小型企业托管面向公众的网站和应用程序。除了来自互联网的用户外,不会有任何其他外部用户。
最好的解决方案可能是private vlan,它允许您的服务器通过公共上行链路进行通信,但不能相互通信。这减少了配置开销,但使攻击者的横向移动更加困难。
没有“最佳实践”。您如何隔离设备取决于您的安全需求(资产、风险、漏洞等)以及设备之间的通信方式。每个系统都不同,我们不可能为您做出决定。
话虽如此,通常如果您想限制设备或系统之间的流量,如果它们位于单独的子网 (VLAN) 中会更容易。然后,您可以限制子网之间的访问。
请记住,仅 VLAN 无法提供任何安全性。您需要将访问控制列表(或其他类型的过滤)应用于 VLAN 接口,以执行您想要的任何安全策略。