我的办公室有两条独立的互联网线路。一条用于一般办公室互联网,另一条是网络服务器的专用线路。我尝试使用 VLAN 将专用线路连接到我们的交换机,这样我就可以通过本地网络访问网络服务器,而不必先连接到互联网再返回,但我无法让它正常工作。
我认为如果我有专用线路和 vlan 上的 Web 服务器端口,并在两个 vlan 上标记 Web 服务器端口,它应该可以工作。我尝试为 Web 服务器提供与本地网络不同的子网中的第二个 IP,即 192.168.2.x(这更安全吗?),并为公司服务器也提供了一个 IP,但这没有奏效(这仍然需要静态路由吗??),所以我将它放在同一个子网 (1.x) 上,然后我可以从本地访问它,但它不再使用其第一个静态 IP,因此不再在线。我尝试将 Web 服务器端口移回第一个 vlan(本地),并在两个 vlan 中保持标记,但这也没有奏效。
我这样做对吗?我是否应该担心以这种方式连接的安全问题?
感谢您的帮助。马克
答案1
如果您的网络服务器有两个以太网端口(如今大多数服务器都有),那么我会在您的交换机上创建一个新的“DMZ”VLAN,将第二个网络服务器端口放入其中,在路由器上进行配置(您的路由器-交换机连接应该是 VLAN 中继),并在办公室路由器上通过 DMZ 网络 IP 配置到公共网络 IP 的静态路由,并在网络服务器上通过路由器的 DMZ IP 配置到办公室网络的静态路由。
答案2
您尚未指定如何/是否进行 NAT,或者是否仅将静态 IP 通过 MIP/Full-Translate 转换到专用或...
好吧,大致上,我会这样做(向下滚动查看 ASCII 图表 <3)
.-,( ),-.
.-( )-.
( teh internets )
'-( ).-'
.-----'-.( ).-'----.
| |
| |
__v___ __v___
LAN Line |_ooo_x| |_ooo_x| Dedicated Server Line
| |
| |
[69.70.2xx.21] [75.120.1xx.37]
| |
| |
| |
'-->eth0 eth1<--'
............................. _*______*_ ...........................
. .-------eth2*.[_...__...o]*eth3 -------. .
. | . ROUTER/SW . | .
. | . . | .
. [192.168.1.0/24] . . [172.16.32.0/24] .
. | . . | .
. | . . | .
. v . . | .
. ____ __ . . | .
. | | |==| . . | .
. |____| | | . . | .
. /::::/ |__| . . | ____ .
. ____ __ ____ __ . . v |====| .
. | | |==| | | |==| . . eth0*| | .
. |____| | | |____| | | . . | | .
. /::::/ |__| /::::/ |__| . . |____| .
. . . .
. Local Network . . Web Server .
............................. ...........................
[vlan1 - LAN] [vlan2 - DMZ]
.----------------------------------------------.
| Abstract Routing/Vlan device Config |
| |
| 192.168.1.0/24 => NAT on 69.70.2xx.21 |
| |
| Full NAT/Mapping: |
| 75.120.1xx.37 => MAP to 172.16.32.X [Server] |
| 172.16.32.X => NAT on 75.120.1xx.37 |
| |
| Route LAN => DMZ traffic |
| 192.168.1.0/24 => 172.16.32.0/24 |
| (filtered, ex: TCP DST 22/80/443) |
| |
| Deny outbound DMZ => LAN traffic: |
| 172.16.32.0/24 =>X 192.168.1.0/24 [DENY] |
| (except related) |
'----------------------------------------------'
请注意,您可以用端口代替 VLAN,并用多个路由器/NAT 设备和交换机/VLAN 的组合替换该架构中神秘的路由器类设备。但这是通用的想法。我可能会选择映射/完整 NAT,而不是向 Web 服务器添加额外的 NIC 以路由回 LAN。
过滤流量也很不错 - 允许/一些/从您的本地网络访问 DMZ,这是重点,并防止 Web 服务器直接访问您的 LAN。在发生入侵时很有用。
神秘的类似路由器的设备的可能替代品:
.---------------------------.
| Multiple NAT Devices |
| (Requires Router Switch, |
| or extra Router) |
'---------------------------' .-,( ),-.
.-----------------------> .-( )-.
| .--->( interwebs )
69.70.2xx.21 | '-( ).-'
| 75.120.1xx.37 '-.( ).-'
| |
__________ __________
.->|____oooo_x| |____oooo_x|<---.
| LAN Line Server Line |
| (NAT) (NAT) |
| |
**|**************** ******************|
192.168.1.0/24 __Managed Switch____ 172.16.32.0/24
* '--------[_::::::::::::::::::x]--------'
* ^ * * ^ *
* | * * | *
*LAN VLAN****|***** ******|**DMZ VLAN*
| |
| __________ |
'-[_...__...x]--'
route/filtering
192.168.1.0/24 <=> 172.16.32.0/24
该场景意味着每个 VLAN 中的机器都有通往彼此子网的路由,并且每个 VLAN 的 NAT 设备都是它们各自的默认网关。
或者如果你实际上有一个“真正的”边缘设备(这将非常好):
.---------------------------.
| Simple NAT Device |
| + ASA/Edge Firewall |
'---------------------------'
.-,( ),-.
.-----------------------> .-( )-.
| ( interwebs )
69.70.2xx.21 '-( ).-'
| '-.( ).-'
______ ^
.--->|_ooo_x| .--------'
| LAN Line |
| (Office NAT) 75.120.1xx.37
| |
192.168.1.0/24 |
| _[Out Int.]_____
******|************* [_...________...x][DMZ Int.]
* ___|__________ * ^ [In Int.] |
* [_::::::::::::x] * / | ************|*******
* Switch ^ * / | * 172.16.32.0/24
* '-------192.168.1.0/24----' * _ | *
* * / * |=| | *
*LAN VLAN*********** / * |_| v *
/ * Web Server *
.--------------------------------------. * *
. route/filtering . ***********DMZ VLAN*
. on Edge FW, between In and DMZ .
. 192.168.1.0/24 <=> 172.16.32.0/24 .
. (Previous pseudo-rules/routes apply) .
'--------------------------------------'
或者,如果你的服务器确实是直接连接的,没有任何 NAT(最好在其上启动并运行过滤):
.------------------------------------------------------.
| Single Office NAT + |
| Server w/ Direct, Routable IP |
| (Requires second NIC, and a lot of manual, |
| separate, OS-specific filtering done on the server) |
'------------------------------------------------------'
.-,( ),-.
.-----------------------> .-( )-.
| ( interwebs )
69.70.2xx.21 '-( ).-'
| '-.( ).-'
______ |
.----->|_ooo_x| |
| LAN Line |
| (Office NAT) 75.120.1xx.37
| |
192.168.1.0/24 |
| |
******|************* v
* ___|__________ * eth0
* [_::::::::::::x] * __
* Switch ^ * _______ |==|
* '--192.168.1.0/24--|___|___|---eth1| |
* * |_|___|_| |__|
*LAN VLAN*********** Firewall Web Server
(On server)
.--------------------------------------------------------------------.
. "pseudo DMZ" enforced by fw rules on Server. .
. No routing required. Defeats the entire point, too. .
. Attacker on Server can potentially alter ruleset and poke at LAN. .
'--------------------------------------------------------------------'
但是,从安全角度来看,这不是很好。请随意组合方案。如果您需要更多详细信息,请随时询问 :)
希望这能有所帮助。另外,我已经有一段时间没做过 ASCII 图表了。在这里玩得很开心 :D