我们有一个正在运行的 ESXi 主机,总共有 5 个 NIC。到目前为止,它只托管我们内部网络的虚拟机。我们还有一个防火墙,以便网络上的用户可以浏览互联网(代理)。防火墙是一个 UTM 设备,还有一个 DMZ 端口。现在我想我们也可以在一台虚拟机上放置一个 Web 服务器(或类似服务器),并使其可在互联网上访问。此虚拟服务器将在 ESXi 上获得一个专用 NIC,该 NIC 连接到防火墙的 DMZ 端口。这是一个好主意吗?或者是否有任何(安全相关的)注意事项反对这种情况?由于它是一个单独的 NIC,它将在 vCenter 上获得自己的 vSwitch,并且与内部网络没有物理连接。但 vCenter 管理整个主机并可以访问所有 NIC 等。所以我不确定这是否是最好的解决方案。
答案1
当然,这不是最好的解决方案——理想情况下,您应该为 DMZ 客户机配备单独的 VM 主机。但是,如果您选择这种方式,则应考虑以下几点:
首先显而易见的是:有人可以使用漏洞逃离虚拟机监狱,从而从 DMZ 入侵您的 LAN 主机。因此您应该真的跟上 DMZ 客户机和主机的补丁,然后希望获得最好的结果。
配置错误会产生严重后果。例如,想象一下您或其他人将 DMZ 和 LAN 上的 NIC 都分配给某个主机的可能性。现在您的 DMZ 和 LAN 是同一个东西。当然,您可以通过执行程序和提高能力来防止这种情况,但您会发现最终会得到一个更脆弱的环境。
尽管如此,它仍然比没有 DMZ 要好,所以如果您现在无法使用单独的主机,它可以是一个很好的权宜之计。但请记住,它不如将您的 DMZ 客户端放在单独的主机和真实网络上那么安全。
答案2
这种方法并没有错。
我通常会使用 VLAN 中继通过现有链路承载 DMZ,但如果您希望将其完全隔离,那么可以使用另一个链路并将该 NIC 分配到单独的 vSwitch。这应该可以让您保持良好和分段。