当社には、複数のサイトをホストする Web サーバー (VM) があります。
アプリケーションの 1 つには、一部がイントラネットで一部がパブリックです。
(アーカイブ/ドキュメントフロー = イントラネット、顧客請求書 = パブリック)
この Web サーバーは現在、11.11.0.80/20LAN 内で IP (IP の例) を使用してホストされています。
ゲートウェイは MPLS ルーター ( 11.11.0.33/20) を指しており、そこからインターネット トラフィックは、
中央インターネット アクセスがあるコロケーションに送信されます。
コロケーションの状況について説明します。トラフィックは、cisco デバイス (MPLS プロバイダー) を経由して送信され、このデバイスから 1 本のケーブルが HP Procurve スイッチに接続され、MPLS からのさまざまな VLAN (MPLS、インターネット、DMZ) にアクセスします。各 VLAN に設定されたポートは、次に Juniper SRX240 に接続され、trust/untrust/dmz ゾーンを作成して NAT を実行します。DMZ ネットワーク IP は11.172.1.0/24、スイッチからのケーブルが接続されている Juniper SRX240 ポートで設定されます。
ここで問題となるのは、ホストされているサイトの一部にネットワーク ( 、80 443、21) への排他的アクセスを提供し11.11.0.0/20、他の部分には外部 (443、21) からアクセスできるようにするにはどうすればよいかということです。
最初に考えたのは、Web サーバー VM に 2 番目の NIC を追加し、SRX デバイスに NAT/ファイアウォールを正しく設定し、Web サーバー上の NIC ごとにファイアウォールを構成することでした。ただし、これにより、DMZ に侵入される可能性があります。
私はこれらのことの専門家ではありませんが、基本的な知識があり、専門家のアドバイスが必要です。
不明な点がありましたらお気軽にお問い合わせください。お時間をいただきありがとうございます。
スタンニー
答え1
IIS の IP アドレス制限機能を使用することをお勧めします。Web サーバー ロールにロール サービスとしてインストールする必要があります。これは「IP およびドメイン制限」と呼ばれます。
インストール後、Web サイトに「IPv4 アドレスとドメインの制限」オプションが表示されます。そこからネットワークからのアクセスを許可または拒否できます。
見てみましょうここステップバイステップのチュートリアルをご覧ください。