使用 pfSense 和子网进行双 NAT 端口转发 - 安全吗?

使用 pfSense 和子网进行双 NAT 端口转发 - 安全吗?

我想将应用服务器(虚拟机)暴露给互联网以用于开发/学习目的。我无法将我的主要家庭网络与我的服务器实验室物理分开。我的虚拟机管理程序能够在 VM 网络接口上进行 VLAN 标记。

我已经在具有两个虚拟网络接口的虚拟机上安装了 pfSense。

  • 接口 1:WAN - 主子网,以 ISP 路由器作为其默认网关
  • 接口 2:LAN - VLAN 标记设置,应用程序子网,这是应用程序子网的默认网关

在 ISP 网关/路由器和我的 pfSense 虚拟机防火墙/路由器上使用端口转发,我能够从互联网连接到我的应用程序 VM。太棒了!

那么,这是否安全可靠?我希望 VLAN 子网足够好,可以在我的应用服务器受到威胁时保护主网络上的智能手机和 PC。我还希望通过使用 pfSense 上安装的软件包,我可以监控可疑流量并根据地理位置阻止 IP。

网络图

答案1

这是相当安全的,但可能不是完全万无一失的。

如果您的应用程序存在允许入侵的问题,则该服务器可能会被用作在内部服务器上立足的手段。
根据接口 2 的设置方式,此框似乎能够与 LAN 上其他在外部不可见的设备进行通信 - 因此安全性将取决于应用程序的安全性 + 标记 VLAN 与网络其余部分之间的防火墙的安全性。(我假设您没有完全将此框与 LAN 隔离的防火墙规则,因为如果您这样做,您就不需要 VLAN)

相关内容