저는 라우터에서 모든 서버 간 방화벽 규칙을 효과적으로 관리할 수 있도록 24개의 서버를 모두 고유한 VLAN에 배치하는 것이 어떨까요?라고 생각했습니다. (OS 방화벽을 백업으로 계속 실행하겠습니다.)
제한된 읽기에서는 이것을 권장 사항으로 보지 못했지만 나에게는 매우 의미가 있는 것 같습니다. 우리 서버의 99%는 사일로입니다. 인터넷에서 액세스하고 로컬 데이터를 업데이트하는 것뿐입니다. (그러나 업데이트를 가져오려면 관리 LAN 및 아웃바운드 인터넷의 인바운드 SSH 액세스가 필요합니다.) 요점은 서버 간 연결은 예외라는 것입니다. 존재하지 않는 통신을 쉽게 하기 위해 공유 LAN에 서버를 둘 이유가 없습니다. 또한 각 서버를 LAN의 첫 번째 구성 시스템에 노출되도록 둘 이유가 없습니다.
내가 무엇을 놓치고 있나요? 이 구성의 단점은 무엇입니까?
참고로 저는~이다VLAN이 사용 가능하고 구현이 쉽다는 가정부터 시작합니다. 괜찮은 라우터와 최신 하이퍼바이저에서 실행되는 모든 컴퓨터가 있다면 이는 공정한 가정처럼 보입니다.
답변1
이론적으로는 가능하지만 모든 트래픽이 라우터를 통해 전송되므로 트래픽 병목 현상이 발생합니다. 또한 라우터의 많은 인터페이스(vlan당 하나), 많은 액세스 제어 목록 또는 트래픽을 제한/허용해야 하는 별도의 장소로 인해 많은 양의 오버헤드가 발생하며 일반적으로 큰 혼란이 발생할 수 있습니다. ..
일반적으로 VLAN은 유사한 보안 수준 장치를 포함하거나 유사한 역할(예: 전화, 프린터 또는 Wi-Fi 액세스)을 갖는 여러 장치를 보유하거나 부서 또는 기타 논리적 사용자 그룹을 링 펜스하는 데 사용됩니다. 이를 통해 많은 제한 없이 상호 통신할 수 있으며 이는 일반적으로 좋은 절충안이지만 레이어 3 스위치, 호스트 기반 방화벽 또는 전용 방화벽과 같은 다른 방법을 사용하여 이를 추가로 제한할 수 있습니다.
라우터를 사용하여 클라이언트 트래픽을 VLAN 간 이동하도록 강제하면 스위치의 모든 VLAN 간 트래픽이 라우터로 전송되어 대역폭 사용량이 늘어납니다. 이는 바람직할 수도 있고 바람직하지 않을 수도 있지만 일반적으로 스위치는 라우터보다 처리량이 높으므로 일반적으로 좋은 절충안은 아닙니다.
즉, 귀하의 환경에 대한 설명을 고려할 때 구성 관리 시스템(puppet/chef/ansible 외)을 통해 구성할 간단한 호스트 기반 방화벽과 결합된 네트워크 전체 방화벽에서 가장 많은 마일리지를 얻을 수 있을 것입니다. 이를 통해 모든 서버에 대한 복잡한 VLAN 없이 방화벽 구성을 쉽게 확장할 수 있습니다.
편집: 아, 그리고 제안한 방식으로 수행하면 서버 구성(예: 보안)이 서버 자체에서 분리되어 불필요한 추가 복잡성이 발생할 수 있습니다.