Citrix를 사용하여 일부 응용프로그램을 가상화하려고 합니다. 따라서 Citrix Secure Gateway를 인터넷에 노출해야 합니다(DMZ에 배치).
내 질문은 어느 것이 더 나은 방법입니까?
- 2개의 물리적 NIC 사용(공용 IP용 1개, 인터넷 개인 IP용 1개)
- 1개의 물리적 NIC를 사용하고 이를 개인 IP로 설정하고 방화벽이 공용 IP에서 개인 IP로 NAT 변환을 수행하도록 하시겠습니까?
감사해요
답변1
다른 해결책이 있다면 NAT를 피할 것입니다. 그리고 귀하의 상황은 NAT 없이도 처리될 수 있는 것처럼 들립니다. 방화벽에 세 개의 네트워크 인터페이스가 있는 경우 매우 간단하게 수행할 수 있습니다.
하나의 공용 IP 주소를 방화벽의 외부 인터페이스에 할당하고 다른 공용 IP 주소를 DMZ 내부 서버에 할당합니다. 방화벽에는 해당 서버의 IP 주소가 DMZ 인터페이스에 직접 연결되어 있음을 알려주는 고정 경로가 필요합니다. 방화벽의 WAN 측 네트워크 구성에 따라 서버를 대신하여 ARP 요청에 응답하도록 방화벽을 구성해야 할 수도 있습니다.
마지막으로, 다른 IP 주소가 LAN에 있는지 인터넷에 있는지에 관계없이 서버의 공용 IP 주소와 다른 호스트 간의 트래픽이 절대로 NAT되지 않도록 방화벽을 구성해야 합니다. 방화벽이 트래픽에 상태 기반 필터링을 적용하기를 원할 수도 있지만 이는 이 질문의 범위를 벗어납니다.
이를 사용하면 LAN에서 서버로의 패킷이 방화벽에 도달하여 NAT가 발생하지 않고 DMZ로 전달됩니다. 마찬가지로 인터넷의 패킷도 NAT 없이 DMZ로 전달됩니다.
서버는 NAT를 통하지 않고 인터넷에 연결할 수 있으며, 추가적으로 LAN에 연결할 수도 있지만(방화벽에서 허용하는 경우) NAT를 통하지도 않습니다.
LAN과 서버 사이의 패킷은 기본 경로를 사용하여 방화벽에 도달하며 방화벽은 각 끝점에 대한 특정 경로를 가지므로 패킷을 전달할 인터페이스를 즉시 알 수 있습니다. 해당 부분을 작동시키는 데 트릭이 필요하지 않습니다.