Preciso colocar um servidor/host físico dentro da DMZ para hospedar servidores/aplicativos?

Preciso colocar um servidor/host físico dentro da DMZ para hospedar servidores/aplicativos?

Estamos nos mudando para um novo escritório e parte é revisar nossa atual LAN/WAN e acesso ao servidor de/para a web.

Eu entendo como o DMZ funciona, mas não consigo descobrir se preciso que um servidor/host físico seja colocado entre meus 2 firewalls, ou posso fazer com sub-redes/vNic o DMZ e os servidores/servidores virtuais com vNic.

Hoje temos um único roteador e um único firewall. Por trás disso estão todos os nossos servidores, servidores de aplicativos, DC, hosts VM, etc.

Eu tenho 2 aplicativos hoje (em servidores virtuais), que são acessíveis pela web (furadores de firewall). Ambos NÃO usam credenciais do AD e estão trabalhando com usuários de banco de dados locais (elimina a necessidade de credenciais do AD).

  • Ambos são servidores virtuais em (atualmente) 1 de 3 hosts VM.
  • Quero mover esses dois aplicativos para a DMZ.
  • Isso exigirá pelo menos um IIS também.

Colocar um servidor VM Host físico que tenha 2 NICs parece um pouco estranho (esse host conterá quantos servidores/servidores de aplicativos eu precisar)

  • é um único ponto de falha
  • e não parece certo (mesmo que possa/deva funcionar)

e por outro lado, posso criar um vNic em um dos meus hosts e mapear seu IP para ambos os Firwalls.

router > wan_firewall_dmz > vNic to server > dmz_firewall_lan> me dá menos sensação de segurança do que a opção anterior e, por algum motivo, tenho a sensação de que "sinto falta" da ideia da DMZ.

Isso está correto?

O que é que estou perdendo?

Responder1

Preciso colocar um servidor/host físico dentro da DMZ para hospedar servidores/aplicativos?

"Talvez" - depende do seu nível de paranóia/confiança na virtualização.

Se você estiver implementando uma nova DMZ, a maneira usual de fazer isso seria criar uma vLAN separada e colocar a sub-rede DMZ nela, criando efetivamente um switch virtual para sua DMZ.

Se você confia que seu software de virtualização não estragará as vLANs, você pode criar um switch virtual em seu hipervisor de VM, colocá-lo na vLAN DMZ e conectar os hosts que deseja isolar a esse switch virtual.

Você pode atribuir os switches virtuais a NICs físicas individuais (enviando tráfego não marcado com as portas do switch colocadas na vLAN apropriada) ou, com a maioria dos sistemas VM, você pode conectar o hipervisor a uma "porta tronco" no seu switch e enviar todo o tráfego da vLAN. para o seu switch marcado e deixe o switch resolver o problema.
Pontos únicos de falha seriam eliminados da maneira usual (agregação de links, failover de máquina virtual apropriado para seu hipervisor, etc.), e sua carga geral de manutenção não deveria aumentar em nada - configurar as vLANs é uma coisa única .

Responder2

Você não precisa de um host físico na sua DMZ. Você pode fazer isso com a definição de VLAN ou, de preferência, interfaces de rede física dedicadas (pNICS) do seu ambiente virtual para a sua rede DMZ.

informação relacionada