我们正在搬到一个新办公室,其中一部分工作是检查我们当前的 LAN/WAN 和服务器对网络的访问。
我了解 DMZ 的工作原理,但无法弄清楚是否需要在我的两个防火墙之间放置一个物理服务器/主机,或者我是否可以使用子网划分/vNic 来对 DMZ 和带有 vNic 的服务器/虚拟服务器进行操作。
目前,我们只有一个路由器和一个防火墙。它背后是所有服务器、应用服务器、DC、VM 主机等。
我目前有 2 个应用程序(在虚拟服务器上),可通过 Web 访问(防火墙漏洞)。这两个应用程序均不使用 AD 凭据,并且与本地 DB 用户一起工作(无需 AD 凭据)。
- 两者都是(当前)3 个 VM 主机中的 1 个中的虚拟服务器。
- 我想将这两个应用程序移入 DMZ。
- 这至少也需要一个 IIS。
放置具有 2 个 NIC 的物理 VM 主机服务器似乎有点奇怪(该主机将容纳我需要的尽可能多的服务器/应用程序服务器)
- 这是一个单点故障
- 感觉不对(尽管它可以/应该可以工作)
另一方面,我可以在我的其中一台主机上创建一个 vNic,并将其 IP 映射到两个防火墙。
router > wan_firewall_dmz > vNic to server > dmz_firewall_lan> 与前一个选项相比,它给我的安全感较差,而且由于某种原因,我感觉我“怀念” DMZ 的想法。
那是对的吗?
我缺少的是什么?
答案1
我是否需要在 DMZ 内放置物理服务器/主机来托管服务器/应用程序?
“也许”——这取决于你对虚拟化的偏执/信任程度。
如果您要实施新的 DMZ,通常的做法是划分一个单独的 vLAN 并将 DMZ 子网放入其中,从而为您的 DMZ 有效地创建一个虚拟交换机。
如果您相信虚拟化软件不会搞砸 vLAN,您可以在 VM Hypervisor 上创建一个虚拟交换机,将其放入 DMZ vLAN,然后将您想要隔离的主机连接到该虚拟交换机。
您可以将虚拟交换机分配给各个物理 NIC(将未标记的流量通过交换机端口发送到相应的 vLAN),或者对于大多数 VM 系统,您可以将虚拟机管理程序连接到交换机上的“中继端口”,并将所有带标记的 vLAN 流量发送到交换机,然后让交换机进行分类。
单点故障将以通常的方式消除(链路聚合、适合您的虚拟机管理程序的虚拟机故障转移等),并且您的整体维护负担根本不会增加——设置 vLAN 是一次性的事情。
答案2
您的 DMZ 中不需要物理主机。您可以通过 VLAN 定义来实现这一点,或者最好是从虚拟环境到 DMZ 网络的专用物理网络接口 (pNICS)。