Ich habe mir überlegt, warum ich nicht einfach alle unsere zwei Dutzend Server in eindeutige VLANs stecke, damit ich alle Firewall-Regeln zwischen den Servern effektiv vom Router aus verwalten kann. (Ich würde die Betriebssystem-Firewalls als Backup weiterlaufen lassen.)
In meiner begrenzten Lektüre habe ich dies nicht als Empfehlung gesehen, aber es scheint mir sehr sinnvoll. 99 % unserer Server sind einfach Silos – Sie greifen über das Internet auf sie zu, sie aktualisieren ihre lokalen Daten und das war’s. (Allerdings benötigen sie eingehenden SSH-Zugriff von unserem Verwaltungs-LAN und ausgehenden Internetzugriff, um Updates abzurufen.) Der Punkt ist, dass die Konnektivität zwischen Servern bei weitem die Ausnahme ist. Es gibt keinen Grund, die Server in einem gemeinsam genutzten LAN zu haben, um nicht vorhandene Kommunikation zu erleichtern. Es gibt auch keinen Grund, jeden Server der ersten betroffenen Maschine im LAN auszusetzen.
Was übersehe ich? Was ist der Nachteil dieser Konfiguration?
Randbemerkung, ichBinBeginnen wir mit der Annahme, dass VLANs verfügbar und einfach zu implementieren sind. Wenn Sie einen anständigen Router haben und alle Ihre Maschinen auf modernen Hypervisoren laufen, scheint dies eine faire Annahme zu sein.
Antwort1
Theoretisch ist das möglich, aber Sie würden den gesamten Datenverkehr über den Router leiten, was ihn zu einem Engpass für den Datenverkehr macht. Außerdem würde es einen großen Overhead mit vielen Schnittstellen auf dem Router (eine pro VLAN), vielen Zugriffskontrolllisten oder separaten Stellen erzeugen, an denen Sie den Datenverkehr begrenzen/zulassen müssen, und im Allgemeinen wäre es wahrscheinlich ein großes Durcheinander....
Normalerweise werden VLANs verwendet, um Geräte mit ähnlichem Sicherheitsniveau oder viele Geräte mit ähnlicher Funktion (wie Telefone, Drucker oder WLAN-Zugang) zu enthalten oder um eine Abteilung oder eine andere logische Benutzergruppe abzugrenzen. Dadurch können sie auch ohne so viele Einschränkungen untereinander kommunizieren, was normalerweise ein guter Kompromiss ist, aber Sie können dies mit einem Layer-3-Switch, einer hostbasierten Firewall oder anderen Methoden wie dedizierten Firewalls weiter einschränken.
Wenn Sie einen Router verwenden, um den Client-Datenverkehr zu zwingen, sich zwischen VLANs zu bewegen, senden Sie den gesamten Inter-VLAN-Datenverkehr des Switches an den Router, was dort die Bandbreitennutzung erhöht. Dies kann wünschenswert sein oder auch nicht, aber im Allgemeinen hat der Switch einen höheren Durchsatz als der Router, sodass dies normalerweise kein guter Kompromiss ist.
Angesichts der Beschreibung Ihrer Umgebung würden Sie wahrscheinlich am meisten von einer netzwerkweiten Firewall in Kombination mit einfacheren hostbasierten Firewalls profitieren, die über ein Konfigurationsverwaltungssystem (Puppet/Chef/Ansible usw.) konfiguriert werden. Dies ermöglicht Ihnen eine einfache Methode zum Skalieren der Firewall-Konfiguration ohne die Komplexität von VLANs für jeden Server.
Bearbeiten: Oh, und wenn Sie es auf die von Ihnen vorgeschlagene Weise tun, wird auch die Konfiguration der Server (also ihre Sicherheit) von den Servern selbst getrennt, was zu unnötiger zusätzlicher Komplexität führen kann.