嗯,所以我想创建多个网络,以便它们彼此独立存在。
其目的在于确保:a)没有冗余硬件(邮件交换、基础设施等对所有网络来说都只有一次,但具有隔离的安全);b)网络之间不会相互威胁(一个受损的网络不会影响其他网络);c)网络之间可以交换数据。
我该如何采取最佳方法?网络确实因其功能而具有不同的要求(敏感数据、隔离、外部访问网络等)。
我想了很多与终端服务器的工作或通过静态路由在一个方向上,以确保安全充电外部服务器不损害内部服务器?
有哪些替代方案?是否有构建企业网络的最佳实践?
答案1
同意 user34092 的评论,您几乎可以使用具有多个接口的防火墙来设置您想要的内容。创建单独的网络并应用规则以允许网络/接口之间的某些流量可能是实现您想要的最佳方式。
答案2
如果你在网络之间传输数据,那么从定义上讲,它们会相互威胁。唯一完全安全的网络是完全隔离的网络。
答案3
可能到目前为止我见过的最好的方法(根据我的经验)是在每台机器上设置防火墙,并在每台机器的防火墙上为需要与其通信的任何其他机器打洞。
我知道,这是一个巨大的 PITA - 但你可以尽可能地细化,并且根据你的IP空间的样子,你甚至可以通过使用相关子网掩码为网络打孔来变得更加“松散”。
我看到的另一件事是在每个子网中非常自由地使用 VLAN,并以此方式隔离流量。