我正在嘗試使用 Citrix 虛擬化一些應用程式。所以我必須將 Citrix Secure Gateway 暴露到 Internet(將其放在 DMZ 中)。
我的問題是哪種做法比較好?
- 使用2個實體網路卡,1個用於公有IP,1個用於Internet私有IP
- 使用 1 個實體網路卡,將其設定為私人 IP,並讓我的防火牆進行從公用 IP 到私人 IP 的 NAT 轉換?
謝謝
答案1
如果有其他解決方案,我會避免 NAT。而且你的情況聽起來不需要 NAT 就可以處理。如果您的防火牆有三個網路接口,那麼做起來應該相當簡單。
您將一個公用 IP 位址指派給防火牆上的外部接口,並將另一個公用 IP 位址指派給 DMZ 內的伺服器。防火牆需要一條靜態路由,告訴它該伺服器的 IP 位址直接連接在 DMZ 介面上。根據防火牆 WAN 端的網路配置,您可能還需要將防火牆配置為代表伺服器回應 ARP 請求。
最後,需要設定防火牆,以便伺服器的公用 IP 位址與其他主機之間的流量永遠不會經過 NAT,無論其他 IP 位址是在 LAN 還是 Internet 上。您可能仍然希望防火牆對流量套用一些狀態過濾,但這超出了本問題的範圍。
完成此操作後,從 LAN 到伺服器的封包將到達防火牆並轉送到 DMZ,而無需發生任何 NAT,同樣,來自網際網路的封包也將在沒有任何 NAT 的情況下轉送至 DMZ。
伺服器可以在不通過 NAT 的情況下連接到互聯網,此外它還可以連接到 LAN(如果防火牆允許),也不會通過任何 NAT。
LAN 和伺服器之間的封包將使用預設路由到達防火牆,防火牆將有到每個端點的特定路由,因此它立即知道要在哪個介面上轉送封包。無需任何技巧即可使該部分發揮作用。