여기에는 iSCSI 트래픽, VMware 관리 트래픽, 프로덕션 트래픽 등을 위해 분리된 네트워크(일부는 물리적으로, 일부는 VLAN으로만)를 갖춘 가상화된 인프라가 있습니다.
물론 확실한 보안 및 성능상의 이유로 LAN에서 iSCSI 네트워크로의 액세스를 허용하지 않는 것이 좋습니다. DMZ/LAN 등에서도 마찬가지입니다.
내가 가진 문제는 실제로 일부 서비스는하다때때로 네트워크를 통한 액세스가 필요합니다.
- 시스템 모니터링 서버는 SNMP를 위해 ESX 호스트와 SAN을 확인해야 합니다.
- VSphere 게스트 콘솔 액세스에는 VM이 실행 중인 ESX 호스트에 대한 직접 액세스가 필요합니다.
- VMware Converter는 VM이 생성될 ESX 호스트에 대한 액세스를 원합니다.
- SAN 이메일 알림 시스템이 우리 메일 서버에 액세스하려고 합니다.
전체 네트워크를 함부로 개방하는 대신 이러한 네트워크에 방화벽을 설치하여 필요한 액세스만 허용하고 싶습니다.
예를 들어:
- SAN > 이메일용 SMTP 서버
- 관리 > SNMP를 통한 모니터링을 위한 SAN
- 관리 > SNMP를 통한 모니터링을 위한 ESX
- 대상 서버 > VMConverter용 ESX
구성 파일을 너무 낮은 수준에서 조작하지 않고도 이러한 종류의 작업을 허용하는 무료 방화벽을 추천할 수 있는 사람이 있습니까?
이전에 IPcop과 같은 제품을 사용한 적이 있으며 "WAN", "WLAN"(빨간색/녹색/주황색/파란색 인터페이스) 아이디어를 다시 사용하면 해당 제품을 사용하여 이를 달성할 수 있을 것 같습니다. 이런 종류의 제품에 대해 다른 허용되는 제품이 있는지 궁금합니다.
감사해요.
답변1
Linux가 혼합되어 있는 경우 Shorewall을 사용할 수 있습니다. 구성이 쉽고 필요한 규칙을 쉽게 지정할 수 있습니다. 좋은 시작점이 되는 1개, 2개, 3개의 인터페이스에 대한 기본 구성이 있습니다. 참조쇼어올대지.
답변2
위에 나열된 것 외에도.
iSCSI SAN에 여러 인터페이스 및/또는 관리 인터페이스가 있다고 가정하면 iSCSI 데이터 VLAN을 라우팅되지 않게 만드는 것을 고려할 수 있습니다.
모든 이메일과 SNMP가 작동하도록 관리 인터페이스를 라우팅된 VLAN에 두고 레이어 3이 없는 VLAN에 모든 iSCSI 인터페이스에 태그를 추가하기만 하면 됩니다.