我很感激得到恰当的 非军事区,应该在 DMZ 服务器和 LAN 服务器之间进行物理分离,并在两者之间设置防火墙服务器。
但是,在由包含两个或多个运行多个虚拟服务器的刀片服务器的单个刀片机箱组成的网络中,可以设计的最接近 DMZ 的是什么?
更多详细信息:虚拟服务器(主要是 Windows)在 Blade 服务器上的 VMWare 环境中运行,并具有 Blade 机箱和互联网之间的物理防火墙盒。
答案1
设置交换机以通过 vLan 运行“DMZ”网络流量,并非常小心地确定允许该 vLan 流量流向何处。
我的一个站点有 1 个交换机,互联网流量直接插入交换机端口 24(用一个大贴纸说明哪个端口 24 粘在交换机上)。交换机配置为端口 24 为 vLan 20(未标记);端口 1 获取 vLan 20(标记),它是主路由器;并且没有其他端口获取该 vLan 的流量。路由器只有一个网络连接。这是理想的吗?可能不是,但它的设置方式没有任何问题或不安全之处。
答案2
您的防火墙是否可以处理“内部”和“外部”网络以外的网络?如果它可以处理三个网络,您应该将它们定义为“LAN”、“DMZ”和“Internet”,然后将这些接口连接到不同的交换机(或托管交换机上的不同 VLAN)。
如果您的防火墙无法处理 DMZ,那么您将需要以不同的方式设置您的网络(并添加另一个防火墙);无论如何,您最终会得到两个逻辑上分离的网段,即 LAN 和 DMZ,它们只能通过防火墙进行通信。
然后,您应该选择是否仅在网络级别分离虚拟机,或者是否实际上希望 DMZ 虚拟机与 LAN 虚拟机在不同的主机上运行。
在第一种情况下,每个 ESX 主机应至少具有三个网络接口:一个用于服务控制台(连接到您的 LAN),一个用于将 VM 连接到 LAN,一个用于将 VM 连接到 DMZ;如果您需要 VMotion,也请为其添加另一个接口。
在第二种情况下,每台主机至少需要两个接口:一个用于服务控制台(始终连接到 LAN,您不希望那一个用于 DMZ 中的网络接口,另一个用于 VM 流量。同样,如果您需要 VMotion,则需要另一个接口。
答案3
我最了解惠普的 C 级刀片,在同一个机箱内设立多个区域并配备以下空腔不会有任何问题;
- 不同区域的 NIC 不会进入相同的交换机/互连
- iLO 虚拟控制台和虚拟媒体已被禁用,仅在需要时临时打开
- 刀片以某种方式进行颜色编码(我们使用小塑料粘性标签)
- 运营人员接受培训和监督
除此之外我自己很高兴,但具体来说我不信任纯粹基于 VLAN 边界的安全性 - 我知道即使是最近的思科硬件/IOS 也可以“VLAN 跳转” - 因此我坚持使用不同的交换机。