Мы переезжаем в новый офис, и частью этого процесса является проверка нашей текущей локальной/глобальной сети и доступа к серверу в/из Интернета.
Я понимаю, как работает DMZ, но не могу понять, нужно ли мне размещать физический сервер/хост между двумя брандмауэрами или можно использовать подсети/vNic для DMZ и серверов/виртуальных серверов с vNic.
Сегодня у нас есть один маршрутизатор и один брандмауэр. За которым находятся все наши серверы, серверы приложений, DC, хосты VM и т. д.
У меня сегодня есть 2 приложения (на виртуальных серверах), которые доступны из веба (дыроколы брандмауэра). Оба НЕ используют учетные данные AD и работают с локальными пользователями БД (устраняют необходимость в учетных данных AD).
- Оба являются виртуальными серверами (в настоящее время) на 1 из 3 хостов виртуальных машин.
- Я хочу переместить эти два приложения в DMZ.
- Для этого потребуется как минимум IIS.
Размещение физического сервера хоста виртуальной машины с двумя сетевыми картами кажется немного странным (на этом хосте будет столько серверов/серверов приложений, сколько мне нужно)
- это единая точка отказа
- и не кажется правильным (хотя это может/должно работать)
и с другой стороны, я могу создать vNic на одном из моих хостов и сопоставить его IP с обоими Firwall.
router > wan_firewall_dmz > vNic to server > dmz_firewall_lan> дает мне меньше ощущения безопасности, чем предыдущий вариант, и по какой-то причине у меня есть ощущение, что я «скучаю» по идее DMZ.
Это верно?
Чего мне не хватает?
решение1
Нужно ли мне размещать физический сервер/хост в DMZ для размещения серверов/приложений?
«Возможно» — это зависит от уровня вашей паранойи/доверия к виртуализации.
Если вы внедряете новую DMZ, то обычным способом сделать это будет выделение отдельной vLAN и помещение в нее подсети DMZ, что фактически создаст виртуальный коммутатор для вашей DMZ.
Если вы уверены, что ваше программное обеспечение для виртуализации не испортит vLAN, вы можете создать виртуальный коммутатор на гипервизоре виртуальной машины, поместить его в vLAN DMZ и подключить хосты, которые вы хотите изолировать, к этому виртуальному коммутатору.
Вы можете назначить виртуальные коммутаторы отдельным физическим сетевым картам (отправляя нетегированный трафик с портами коммутатора, сброшенными в соответствующую vLAN), или в большинстве систем виртуальных машин вы можете подключить гипервизор к «магистральному порту» на вашем коммутаторе и отправлять весь трафик vLAN на ваш коммутатор с тегами и позволить коммутатору разобраться с этим.
Отдельные точки отказа будут устранены обычным способом (агрегация каналов, отказоустойчивость виртуальной машины, соответствующая вашему гипервизору и т. д.), и ваша общая нагрузка на обслуживание не должна увеличиться вообще — настройка vLAN — это единоразовая операция.
решение2
Вам не нужен физический хост в вашей DMZ. Вы можете сделать это с помощью определения VLAN или, что предпочтительнее, выделенных физических сетевых интерфейсов (pNICS) из вашей виртуальной среды в вашу сеть DMZ.