我正在将服务器机房移入数据中心,这是检查安全区域当前设置的好时机。我们正在使用 Vsphere 4 Standard 和 Cisco ASA 5510 防火墙。目前,防火墙是所有 DMZ、LAN、WAN 和后端区域的单一连接点,因此所有区域之间的所有流量都会经过这个 100 Mb/s 防火墙设备。
这种方法在一段时间内是有效的,但是我们部署的新服务将需要某些区域之间的快速连接,例如数据库查询和文件传输,因此 100Mb/s 将成为瓶颈。
为 DMZ 提供的一种可能解决方案:
- 为每个 DMZ 主机使用单独的 VNIC,一个用于客户从 WAN 访问它的外部连接,一个用于连接到后端/LAN 区域。 - 因此,VNIC1 连接到防火墙以过滤外部不受信任的连接。然而,VNIC2 绕过防火墙,所有过滤都在 iptables 级别或 Windows 2008 防火墙上完成。这解决了防火墙造成的 DMZ 和后端之间的带宽限制问题。
但是,这种设计会消除我们以前使用一台设备时所采用的集中式安全模型,并且会因将分散的 iptables 设置绑定到服务器上而带来管理难题。应该有更好的方法来实现这一点。您有什么建议?我觉得 Vsphere Enterprise Plus 中的功能可能会有所帮助,例如分布式交换机和 vShield 区域。我们计划明年获得它,但即使它有帮助,我们仍然需要一些解决方案。如果您有
任何建议或阅读材料,我将不胜感激。
多谢
谢尔盖
答案1
看来我描述的设计是可行的。一种解决方案是获得具有更高吞吐量的防火墙,但我的研究表明这并不值得。
我将在 puppet 设置中添加 iptables,并对 Windows 防火墙执行类似操作。