我们有一个 Smoothwall 防火墙,其中有“绿色”网络(LAN)和“橙色”网络(DMZ),我们想使用 OpenVPN 访问服务器作为我们的 VPN 服务器。
问题是:VPN 服务器应该放在 LAN 还是 DMZ 中?如果放在 DMZ 中,那么 VPN 连接的客户端应如何访问 LAN 资源(例如 Samba 共享或 Windows 远程桌面)?
(我知道这应该是一个基本问题,但我花了很多时间在网上搜索,似乎大多数人都建议将 VPN 服务器放在 DMZ 中。但是,我不清楚如何才能从 VPN 服务器访问 LAN 中的资源,而不会首先损害 DMZ 的安全原则。)
任何回复都将非常感谢!
编辑:我在网上找不到任何关于如何继续的高质量解释。另一个建议(http://www.antionline.com/showthread.php?228254.html)是将 VPN 服务器与防火墙并行放置。对我来说,这听起来比将端口转发到 LAN 本身更糟糕。
答案1
你的答案就在你的问题中:
如果在 DMZ 中,那么通过 VPN 连接的客户端应该如何访问 LAN 资源……
取决于你的目标是什么...
将 VPN 放在 DMZ 中是一件愚蠢的事情,因为 DMZ 是您架构中的高级互联网区域。
在您的 LAN 中放置 VPN 意味着您知道自己在做什么。
您甚至可以构建一种DMZ bis对您的 LAN 进行限制、监控和控制访问且无法通过 Internet 访问的防火墙。这需要这种先进的防火墙或两个级联防火墙。