
当社は新しいオフィスに移転しており、その一部は現在の LAN/WAN と Web との間のサーバー アクセスを見直すことです。
DMZ の仕組みは理解していますが、2 つのファイアウォールの間に物理サーバー/ホストを配置する必要があるのか、それとも DMZ とサーバー/仮想サーバーを vNic でサブネット化/vNIC 化すればよいのかわかりません。
現在、当社には単一のルーターと単一のファイアウォールがあります。その背後には、すべてのサーバー、アプリケーション サーバー、DC、VM ホストなどが配置されています。
現在、Web (ファイアウォール ホール パンチ) からアクセスできるアプリケーションが 2 つあります (仮想サーバー上)。どちらも AD 資格情報を使用せず、ローカル DB ユーザーで動作します (AD 資格情報は不要)。
- どちらも、(現在) 3 つの VM ホストのうちの 1 つにある仮想サーバーです。
- これら 2 つのアプリケーションを DMZ に移動したいと考えています。
- これには少なくとも IIS も必要になります。
2 つの NIC を持つ物理 VM ホスト サーバーを配置するのは少し奇妙に思えます (そのホストには必要な数のサーバー/アプリケーション サーバーが保持されます)
- それは単一障害点である
- そして、それが正しいとは思えない(うまくいくはずなのに)
一方、ホストの 1 つに vNic を作成し、その IP を両方のファイアウォールにマッピングすることもできます。
router > wan_firewall_dmz > vNic to server > dmz_firewall_lan
> 以前のオプションに比べてセキュリティの印象は薄れ、何らかの理由で、DMZ のアイデアが「恋しい」ような気がします。
あれは正しいですか?
私が見逃しているものは何でしょうか?
答え1
サーバー/アプリケーションをホストするには、DMZ 内に物理サーバー/ホストを配置する必要がありますか?
「おそらく」--それは仮想化に対するあなたの偏執狂的または信頼のレベルに依存します。
新しい DMZ を実装する場合、通常は別の vLAN を切り出してそこに DMZ サブネットを配置し、実質的に DMZ の仮想スイッチを作成します。
仮想化ソフトウェアが vLAN を台無しにしないことを信頼できる場合は、VM ハイパーバイザー上に仮想スイッチを作成し、それを DMZ vLAN にドロップして、分離するホストをその仮想スイッチに接続できます。
仮想スイッチを個々の物理 NIC に割り当てることができます (タグなしトラフィックを送信し、スイッチ ポートを適切な vLAN にドロップします)。または、ほとんどの VM システムでは、ハイパーバイザーをスイッチの「トランク ポート」に接続し、すべての vLAN トラフィックをタグ付きスイッチに送信して、スイッチで整理することができ
ます。単一障害点は、通常の方法 (リンク アグリゲーション、ハイパーバイザーに適した仮想マシン フェイルオーバーなど) で排除され、全体的なメンテナンスの負担はまったく増加しません。vLAN の設定は 1 回限りです。
答え2
DMZ に物理ホストは必要ありません。これは、VLAN 定義、またはできれば仮想環境から DMZ ネットワークへの専用の物理ネットワーク インターフェイス (pNICS) によって実現できます。