我们有一个托管多个站点的网络服务器 (VM)。
其中一个应用程序有一部分是内联网,一部分是公共网络。
(归档/文档流 = 内联网,客户发票 = 公开)
此 Web 服务器当前托管11.11.0.80/20在我们的 LAN 中的IP(示例 IP):。
我们的网关指向 MPLS 路由器(11.11.0.33/20),从那里我们的互联网流量转到
拥有中央互联网访问的主机托管。
让我解释一下主机托管的情况。我们通过思科设备(MPLS 提供商)进入,从此设备,一根电缆连接到 HP Procurve 交换机,以访问来自 MPLS 的不同 VLAN(MPLS、Internet、DMZ)。然后,将为每个 VLAN 配置的端口连接到 Juniper SRX240,以创建信任/不信任/dmz 区域并执行 NAT。DMZ 网络 IP 位于11.172.1.0/24Juniper SRX240 端口上,交换机的电缆就是从该端口出来的。
现在,我的问题是,我应该如何为托管站点的一部分提供对我的网络(11.11.0.0/20,80 443,21)的独占访问,而另一部分可以从外部进行访问。(443,21)?
我的第一个想法是向 Web 服务器虚拟机添加第二个 NIC,并在我的 SRX 设备上正确设置 NAT/防火墙,并在 Web 服务器上为每个 NIC 配置防火墙?但这实际上会在 DMZ 中造成可能的漏洞。
我不是这方面的专家,但我有基础知识,需要一些专家的建议。
如果还有不清楚的地方请询问。谢谢您的时间!
史丹尼
答案1
我建议您使用 IIS 中的 IP 地址限制功能。您需要将其作为角色服务安装到 Web 服务器角色。它被称为“IP 和域限制”
安装后,在网站上,您有一个“IPv4 地址和域限制”选项,您可以允许和拒绝来自那里的网络的访问。
看一看这里获得分步教程。