우리는 새 사무실로 이사할 예정이며, 그 중 일부는 현재 LAN/WAN 및 웹과의 서버 액세스를 검토하는 것입니다.
DMZ가 어떻게 작동하는지 이해하지만 2개의 방화벽 사이에 물리적 서버/호스트를 배치해야 하는지, 아니면 DMZ와 서버/가상 서버를 vNic으로 서브넷/vNic로 연결할 수 있는지 알 수 없습니다.
오늘날 우리는 단일 라우터와 단일 방화벽을 보유하고 있습니다. 그 뒤에는 모든 서버, 애플리케이션 서버, DC, VM 호스트 등이 있습니다.
현재 웹에서 액세스할 수 있는(방화벽 구멍 펀치) 응용 프로그램이 2개(가상 서버에) 있습니다. 둘 다 AD 자격 증명을 사용하지 않으며 로컬 DB 사용자와 작업하고 있습니다(AD 자격 증명이 필요 없음).
- 둘 다 (현재) 3개의 VM 호스트 중 1개의 가상 서버입니다.
- 이 2개의 애플리케이션을 DMZ로 옮기고 싶습니다.
- 이를 위해서는 최소한 IIS도 필요합니다.
2개의 NIC가 있는 물리적 VM 호스트 서버를 배치하는 것은 약간 이상해 보입니다(해당 호스트는 필요한 만큼의 서버/응용 프로그램 서버를 보유할 것입니다).
- 그것은 단일 실패 지점입니다
- 그리고 기분이 좋지 않습니다(작동할 수 있거나 작동해야 함에도 불구하고)
반면에 호스트 중 하나에 vNic를 생성하고 해당 IP를 두 Firwall에 매핑할 수 있습니다.
router > wan_firewall_dmz > vNic to server > dmz_firewall_lan> 이전 옵션에 비해 보안성이 덜하고 어떤 이유로 DMZ 아이디어가 "그리워지는" 느낌이 듭니다.
그 맞습니까?
내가 놓치고 있는 것이 무엇입니까?
답변1
서버/애플리케이션을 호스트하려면 DMZ 내에 물리적 서버/호스트를 배치해야 합니까?
"어쩌면" -- 편집증 수준/가상화에 대한 신뢰도에 따라 다릅니다.
새로운 DMZ를 구현하는 경우 일반적인 방법은 별도의 vLAN을 분리하고 그 안에 DMZ 서브넷을 배치하여 DMZ에 대한 가상 스위치를 효과적으로 만드는 것입니다.
가상화 소프트웨어가 VLAN을 망칠 수 없다고 신뢰한다면 VM 하이퍼바이저에서 가상 스위치를 생성하고 이를 DMZ vLAN에 놓은 다음 격리하려는 호스트를 해당 가상 스위치에 연결할 수 있습니다.
가상 스위치를 개별 물리적 NIC에 할당하거나(스위치 포트를 적절한 VLAN에 연결하여 태그가 지정되지 않은 트래픽 전송) 대부분의 VM 시스템에서 하이퍼바이저를 스위치의 "트렁크 포트"에 연결하고 모든 VLAN 트래픽을 보낼 수 있습니다. 스위치에 태그를 지정하고 스위치가 이를 정렬하도록 하세요.
단일 장애 지점은 일반적인 방법(링크 집계, 하이퍼바이저에 적합한 가상 머신 장애 조치 등)으로 제거되며 전반적인 유지 관리 부담은 전혀 증가하지 않습니다. vLAN 설정은 일회성 작업입니다. .
답변2
DMZ에는 물리적 호스트가 필요하지 않습니다. VLAN 정의를 사용하거나 가상 환경에서 DMZ 네트워크까지의 전용 물리적 네트워크 인터페이스(pNICS)를 사용하여 이를 수행할 수 있습니다.