Wir ziehen in ein neues Büro um und müssen unter anderem unseren aktuellen LAN/WAN- und Serverzugriff zum/vom Internet überprüfen.
Ich verstehe, wie die DMZ funktioniert, kann aber nicht herausfinden, ob ich einen physischen Server/Host zwischen meinen beiden Firewalls platzieren muss oder ob ich die DMZ und die Server/virtuellen Server mit vNic subnettieren/vNic kann.
Heute haben wir einen einzigen Router und eine einzige Firewall. Dahinter verbergen sich alle unsere Server, Anwendungsserver, DC, VM-Hosts usw.
Ich habe heute 2 Anwendungen (auf virtuellen Servern), die über das Internet zugänglich sind (Firewall-Löcher). Beide verwenden KEINE AD-Anmeldeinformationen und arbeiten mit lokalen DB-Benutzern (AD-Anmeldeinformationen sind nicht mehr erforderlich).
- Beide sind virtuelle Server in (derzeit) 1 von 3 VM-Hosts.
- Ich möchte diese beiden Anwendungen in die DMZ verschieben.
- Dafür ist mindestens auch ein IIS erforderlich.
Das Platzieren eines physischen VM-Host-Servers mit 2 Netzwerkkarten erscheint etwas seltsam (dieser Host kann so viele Server/Anwendungsserver enthalten, wie ich brauche).
- Es ist ein einzelner Fehlerpunkt
- und fühlt sich nicht richtig an (obwohl es funktionieren kann/sollte)
und andererseits kann ich in einem meiner Hosts eine vNic erstellen und ihre IP beiden Firewalls zuordnen.
router > wan_firewall_dmz > vNic to server > dmz_firewall_lan> gibt mir ein geringeres Sicherheitsgefühl als die vorherige Option und aus irgendeinem Grund habe ich das Gefühl, dass mir die DMZ-Idee „fehlt“.
Ist das korrekt?
Was fehlt mir?
Antwort1
Muss ich zum Hosten von Servern/Anwendungen einen physischen Server/Host innerhalb der DMZ platzieren?
„Vielleicht“ – es hängt von Ihrem Grad an Paranoia/Vertrauen in die Virtualisierung ab.
Wenn Sie eine neue DMZ implementieren, besteht die übliche Vorgehensweise darin, ein separates vLAN auszuarbeiten und das DMZ-Subnetz darin zu platzieren, wodurch effektiv ein virtueller Switch für Ihre DMZ erstellt wird.
Wenn Sie darauf vertrauen, dass Ihre Virtualisierungssoftware vLANs nicht durcheinanderbringt, können Sie auf Ihrem VM-Hypervisor einen virtuellen Switch erstellen, ihn in das DMZ-vLAN ablegen und die Hosts, die Sie isolieren möchten, mit diesem virtuellen Switch verbinden.
Sie können die virtuellen Switches einzelnen physischen Netzwerkkarten zuweisen (indem Sie ungetaggten Datenverkehr senden, wobei die Switch-Ports in das entsprechende vLAN fallen), oder Sie können bei den meisten VM-Systemen den Hypervisor an einen „Trunk-Port“ Ihres Switches anschließen und den gesamten vLAN-Datenverkehr getaggt an Ihren Switch senden und den Switch das Sortieren überlassen.
Einzelne Fehlerquellen würden auf die übliche Weise eliminiert (Link-Aggregation, virtuelles Maschinen-Failover, das Ihrem Hypervisor entspricht, usw.), und Ihr Gesamtwartungsaufwand sollte sich überhaupt nicht erhöhen – das Einrichten der vLANs ist eine einmalige Angelegenheit.
Antwort2
Sie benötigen keinen physischen Host in Ihrer DMZ. Dies erreichen Sie mit einer VLAN-Definition oder besser noch mit dedizierten physischen Netzwerkschnittstellen (pNICS) von Ihrer virtuellen Umgebung zu Ihrem DMZ-Netzwerk.