运行 ubuntu server 10.04。此机器既是 web(apache2)服务器,又是 vpn(openvpn)服务器。以下是当前网络的配置方式。
router 192.168.1.1
|
|
LAN
|
|
ubuntu server 192.168.1.2
NAS file serverA 192.168.1.3
NAS file serverB 192.168.1.4
20 workstations 192.168.1.50/70
基本配置,所有工作站和 ubuntu 服务器都在路由器防火墙后面。Web 服务器的端口 80 和 VPN 服务器的端口 1200 从路由器转发到 ubuntu 服务器。
我读过一篇文章,其中提到将 Web 服务器置于 DMZ 中是明智之举,这样如果遭到黑客攻击,您可以限制附带损害并将 LAN 与攻击隔离开来。但是,如何在多用途服务器上做到这一点呢?
使用多个 NIC 和 2 个路由器,您可以做这样的事情吗?
router 192.168.1.1
|
|
LAN
|
|---WAN port----router 192.168.2.1
| |
| LAN
| |
| ubuntu server (apache2 nic) 192.168.2.2
|
ubuntu server (vpn nic) 192.168.1.2
NAS file serverA 192.168.1.3
NAS file serverB 192.168.1.4
20 workstations 192.168.1.50/70
任何建议都值得赞赏!
答案1
如果同一台服务器同时在两个网络中,并且您的系统和 Apache 之间没有任何隔离,那么您所采用的多个路由器/NIC 设计对您没有任何好处。如果 Apache 服务器以某种方式受到攻击,他们就可以访问系统本身,而系统又可以通过另一个 NIC 访问网络的其余部分。
您有以下两个选择:
1)在 ubuntu 服务器上的 VM 内运行 apache,并将 VM 的网络仅绑定到 DMZ 的 NIC。
2)在仅插入 DMZ 的单独机器上运行 apache。