Я подумал, почему бы мне просто не поместить все наши два десятка серверов в уникальные виртуальные локальные сети (VLAN), чтобы я мог эффективно управлять всеми правилами межсерверного брандмауэра с маршрутизатора? (Я бы оставил брандмауэры ОС работающими в качестве резервного варианта.)
В моем ограниченном чтении я не видел в этом рекомендации, но мне кажется, что это имеет смысл. 99% наших серверов — это просто хранилища: вы получаете к ним доступ из Интернета, они обновляют свои локальные данные, и это все. (Хотя им действительно нужен входящий доступ по ssh из нашей локальной сети управления и исходящий доступ в Интернет для получения обновлений.) Дело в том, что межсерверное соединение — это, безусловно, исключение. Нет причин размещать серверы в общей локальной сети, чтобы облегчить несуществующую связь. Также нет причин оставлять каждый сервер открытым для первой объединенной машины в локальной сети.
Что я упускаю? В чем недостаток этой конфигурации?
Примечание: яявляюсьначиная с предположения, что vlan доступны и просты в реализации. Если у вас есть приличный маршрутизатор и все ваши машины работают на современных гипервизорах, это кажется справедливым предположением.
решение1
Теоретически можно, но вы бы отправили весь трафик через маршрутизатор, что сделало бы его узким местом для трафика. Также это создало бы большой объем накладных расходов с большим количеством интерфейсов на маршрутизаторе (по одному на vlan), большим количеством списков контроля доступа или отдельных мест, где вам нужно было бы ограничивать / разрешать трафик, и в целом это, вероятно, было бы большим беспорядком....
Обычно vlan используются для размещения устройств с аналогичным уровнем безопасности или для хранения множества устройств с аналогичной ролью (например, телефонов, принтеров или доступа к Wi-Fi), или для ограждения отдела или другой логической группы пользователей. Это также позволяет им взаимодействовать между собой без стольких ограничений, что обычно является хорошим компромиссом, но вы можете дополнительно ограничить это с помощью коммутатора уровня 3, межсетевого экрана на основе хоста или некоторых других методов, таких как выделенные межсетевые экраны.
Когда вы используете маршрутизатор, чтобы заставить клиентский трафик перемещаться между VLAN, вы отправляете весь трафик между VLAN коммутатора на маршрутизатор, что увеличивает использование полосы пропускания там. Это может быть желательно или нет, но обычно коммутатор будет иметь более высокую пропускную способность, чем маршрутизатор, поэтому обычно это не является хорошим компромиссом.
Тем не менее, учитывая описание вашей среды, вы, вероятно, получите максимальную выгоду от сетевого брандмауэра в сочетании с более простыми хостовыми брандмауэрами, которые можно настроить с помощью системы управления конфигурацией (puppet/chef/ansible и т. д.). Это позволяет вам легко масштабировать конфигурацию брандмауэра без сложности vlan для каждого сервера.
правка: да, и выполнение предложенного вами способа также разделяет конфигурацию серверов (т. е. их безопасность) от самих серверов, что может привести к ненужной дополнительной сложности.