我們要搬到新辦公室,其中一部分是檢查我們目前的 LAN/WAN 和伺服器對網路的存取。
我了解 DMZ 的工作原理,但無法弄清楚是否需要在 2 個防火牆之間放置實體伺服器/主機,或者我可以使用 DMZ 和帶有 vNic 的伺服器/虛擬伺服器對 DMZ 進行子網路劃分/vNic。
今天我們只有一個路由器和一個防火牆。背後是我們所有的伺服器、應用程式伺服器、DC、VM主機等。
我今天有 2 個應用程式(在虛擬伺服器上),可以透過網路存取(防火牆打孔)。兩者都不使用 AD 憑證,並且都與本機資料庫使用者一起使用(無需 AD 憑證)。
- 兩者都是(目前)3 個 VM 主機中的 1 個中的虛擬伺服器。
- 我想將這 2 個應用程式移至 DMZ。
- 這至少還需要一個 IIS。
放置具有 2 個 NIC 的實體 VM 主機伺服器似乎有點奇怪(該主機將容納我需要的盡可能多的伺服器/應用程式伺服器)
- 這是單點故障
- 並且感覺不對(即使它可以/應該起作用)
另一方面,我可以在其中一台主機中建立一個 vNic,並將其 IP 對應到兩個防火牆。
router > wan_firewall_dmz > vNic to server > dmz_firewall_lan> 給我的安全感不如之前的選項,而且出於某種原因,我有一種感覺「懷念」DMZ 的想法。
那是對的嗎?
我缺什麼?
答案1
我是否需要在 DMZ 內放置實體伺服器/主機來託管伺服器/應用程式?
「也許」—這取決於您對虛擬化的偏執/信任程度。
如果您要實作新的 DMZ,通常的方法是開啟一個單獨的 vLAN 並將 DMZ 子網路放入其中,從而為您的 DMZ 有效建立虛擬交換器。
如果您相信您的虛擬化軟體不會搞砸 vLAN,您可以在 VM Hypervisor 上建立虛擬交換機,將其放入 DMZ vLAN,然後將要隔離的主機連接到該虛擬交換器。
您可以將虛擬交換器指派給各個實體網路卡(傳送未標記的流量,並將交換器連接埠放入適當的vLAN),或者對於大多數VM 系統,您可以將虛擬機器管理程式連接到交換器上的「中繼連接埠」並發送所有vLAN 流量給你的交換器貼上標籤,讓交換器來解決它。
單點故障將以通常的方式消除(鏈路聚合、適合您的虛擬機管理程式的虛擬機故障轉移等),而您的整體維護負擔根本不會增加 - 設定 vLAN 是一次性的事情。
答案2
您的 DMZ 中不需要實體主機。您可以透過 VLAN 定義來實現此目的,或者最好使用從虛擬環境到 DMZ 網路的專用實體網路介面 (pNICS)。