Contamos con un servidor web (VM) que aloja varios sitios.
Una de las aplicaciones tiene una parte intranet y una parte pública.
(archivo/flujo de documentos = intranet, facturas de clientes = público)
Este servidor web está alojado actualmente con IP (IP de ejemplo): 11.11.0.80/20en nuestra LAN.
Nuestra puerta de enlace apunta a un enrutador MPLS ( 11.11.0.33/20), desde allí nuestro tráfico de Internet va
a una ubicación donde tenemos acceso central a Internet.
Permítanme explicarles la situación de la colocación. Entramos a través de un dispositivo cisco (proveedor de MPLS), desde este dispositivo se conecta un cable a un switch HP Procurve para acceder a las diferentes VLAN que provienen de MPLS (MPLS, Internet, DMZ). Los puertos configurados para cada VLAN luego se conectan a un Juniper SRX240 para crear zonas de confianza/untrust/dmz y realizar NAT. La IP de la red DMZ está 11.172.1.0/24configurada en el puerto Juniper SRX240 de donde proviene el cable del conmutador.
Ahora, mi problema es cómo debo brindar acceso exclusivo a una parte de los sitios alojados en mi red ( 11.11.0.0/20, 80 443, 21) y la otra parte puede tener acceso desde afuera. (443, 21)?
Mi primer pensamiento fue agregar una segunda NIC a la máquina virtual del servidor web y configurar correctamente NAT/Firewall en mi dispositivo SRX y configurar el firewall por NIC en el servidor web. Aunque esto efectivamente crea una posible brecha en la DMZ.
No soy un experto en estas cosas, pero tengo conocimientos básicos y necesito el consejo de algunos expertos.
Por favor pregunte si algo no está claro. ¡Gracias por tu tiempo!
stanny
Respuesta1
Le sugiero que utilice la función de restricciones de dirección IP en IIS. Debe instalarlo como un servicio de rol para el rol de servidor web. Se llama "Restricciones de dominio e IP".
Después de instalarlo, en el sitio web, tiene la opción "Restricciones de dominio y dirección IPv4". Puede permitir y denegar el acceso desde las redes allí.
Echar un vistazoaquípara un tutorial paso a paso.