好吧,这是一个有趣的问题。分为两部分:
- 建议在生产中将 TMG 作为 hyper-v 客户机运行吗?(有些事情让我觉得这不是一个好主意,但可以让 VM 独占访问 NIC 的权限,从技术上讲,“主机”只是另一个具有特殊权限的客户机)。
- 如果将 TMG 作为 Hyper-V 客户机运行,我应该将主机放在内部网络中还是 DMZ 足够安全?我在这里担心的显然是主机可以被视为薄弱环节。DMZ 位于 NAT 后面,我没有给主机任何外部访问权限。我只允许内部机器访问主机。这足够了吗,还是我应该将主机置于内部?
或者回到第 1 点,我是否应该完全放弃这个想法并将 TMG 放在单独的物理机器上?(所以我撒了谎,我猜它分为 3 个部分)。
为了澄清 我的设计如下(全部在物理盒子上运行)
机器 A - Hyper-V 主机无法访问任何主机 NICS,只能访问通过 Hyper-V 创建的虚拟网络。还运行(当前)DMZ DC,对内部域具有单向信任。以及用于内部的 DNS / DHCP。仅连接到 DMZ 虚拟网络。
机器 B - TMG 来宾机器三方配置:外部连接到分配有可公开访问 IP 的物理 NIC。内部和 DMZ 都连接到虚拟网络。防火墙规则已设置,允许机器 A 处理与内部 DC/DNS 的 AD 通信。此外,DMZ 的物理 NIC 连接到无线 AP。
机器 C-?? 内部网络服务和客户端它们连接到内部虚拟网络,并根据具体情况获得访问权限。
一切都正常,我只是想确保这种配置不会在我的网络中造成巨大的漏洞。
答案1
微软似乎已“正式”宣布支持 Hyper-V 上的 TMG -http://www.microsoft.com/forefront/threat-management-gateway/en/us/default.aspx
正如 Tatas 所说。由于 TMG 位于虚拟机管理程序上,因此对虚拟机管理程序本身的公开没有任何技术要求。虚拟机管理程序下的虚拟到物理 NIC 分配是将 TMG 置于正常运行配置中的唯一要求。虚拟机管理程序可以根据您环境中虚拟机管理程序的“正常”部署保持不变。
只要没有猖獗的虚拟机管理程序漏洞,那么运行 TMG 和类似产品就应该和在物理硬件上一样“安全”。
话虽如此,在解决和/或响应带外情况(例如网络利用率峰值、虚拟机管理程序问题等)时,在物理硬件上拥有外围类型的应用程序可能会有一些操作优势。
答案2
我们在 VMWARE 中运行 TMG,因此虚拟化绝对是一个可行的选择。Hyper-V 也不例外。您可以专门为 TMG 客户机创建一个新的 VM 网络。这将有助于隔离网卡/流量。
我们的 TMG 是公开地址的(我们使用它们进行反向代理交换)。我看不出将其放在 DMZ 中的充分理由,但确切地知道您计划如何使用它会很有帮助。