我们要搬到一个新办公室,其中一部分是审查我们当前的 LAN/WAN 和服务器对 Web 的访问。
我了解 DMZ 的工作原理,但无法弄清楚是否需要在我的 2 个防火墙之间放置物理服务器/主机,或者我可以使用子网划分/vNic DMZ 和带有 vNic 的服务器/虚拟服务器。
今天我们只有一个路由器和一个防火墙。其背后是我们所有的服务器、应用服务器、DC、VM主机等。
我今天有 2 个应用程序(在虚拟服务器上),可以从 Web 访问(防火墙打孔)。两者都不使用 AD 凭据,并且与本地数据库用户一起工作(不再需要 AD 凭据)。
- 两者都是(当前)3 个 VM 主机中的 1 个中的虚拟服务器。
- 我想将这两个应用程序移到 DMZ 中。
- 这也至少需要一个 IIS。
放置具有 2 个 NIC 的物理 VM 主机服务器似乎有点奇怪(该主机将容纳我需要的尽可能多的服务器/应用程序服务器)
- 这是单点故障
- 并且感觉不对(即使它可以/应该起作用)
另一方面,我可以在我的一个主机中创建一个 vNic,并将它的 IP 映射到两个防火墙。
router > wan_firewall_dmz > vNic to server > dmz_firewall_lan> 给我的安全感不如先前的选项,而且出于某种原因,我觉得我“怀念”DMZ 的想法。
那是对的吗?
我错过了什么?
“也许”——这取决于您对虚拟化的偏执/信任程度。
如果您正在实施一个新的 DMZ,通常的做法是开辟一个单独的 vLAN 并将 DMZ 子网放入其中,从而有效地为您的 DMZ 创建一个虚拟交换机。
如果您相信您的虚拟化软件不会搞砸 vLAN,您可以在您的 VM Hypervisor 上创建一个虚拟交换机,将其放入 DMZ vLAN,并将您想要隔离的主机连接到该虚拟交换机。
您可以将虚拟交换机分配给单独的物理 NIC(发送未标记的流量,并将交换机端口放入适当的 vLAN),或者对于大多数 VM 系统,您可以将管理程序连接到交换机上的“中继端口”并发送所有 vLAN 流量到您标记的开关,让开关对其进行分类。
单点故障将以通常的方式消除(链路聚合、适用于您的管理程序的虚拟机故障转移等),并且您的总体维护负担根本不会增加——设置 vLAN 是一次性的事情.
您的 DMZ 中不需要物理主机。您可以使用 VLAN 定义来完成此操作,或者最好使用从虚拟环境到 DMZ 网络的专用物理网络接口 (pNICS)。