我正在尝试使用 Citrix 虚拟化一些应用程序。因此我必须将 Citrix 安全网关公开到 Internet(将其放在 DMZ 中)。
我的问题是哪种做法更好?
- 使用2个物理网卡,一个用于公网IP,一个用于Internet私有IP
- 使用 1 个物理 NIC,将其设置为私有 IP,并让我的防火墙执行从公共 IP 到私有 IP 的 NAT 转换?
谢谢
答案1
如果有其他解决方案,我会避免使用 NAT。而且您的情况听起来不需要 NAT 就可以处理。如果您的防火墙有三个网络接口,那么这应该相当简单。
您为防火墙上的外部接口分配一个公共 IP 地址,并为 DMZ 内的服务器分配另一个公共 IP 地址。防火墙需要一条静态路由,告知它该服务器的 IP 地址直接连接到 DMZ 接口。根据防火墙 WAN 端的网络配置,您可能还需要配置防火墙以代表服务器响应 ARP 请求。
最后,需要配置防火墙,以便服务器的公共 IP 地址与其他主机之间的流量永远不会被 NAT,无论其他 IP 地址是在 LAN 还是 Internet 上。您可能仍希望防火墙对流量应用一些状态过滤,但这超出了本问题的范围。
这样,从 LAN 到服务器的数据包将到达防火墙并转发到 DMZ 而不会发生任何 NAT,同样,来自互联网的数据包也将被转发到 DMZ 而不会发生任何 NAT。
服务器无需经过 NAT 即可连接到互联网,此外它还可以连接到 LAN(如果防火墙允许),并且也不会经过任何 NAT。
LAN 和服务器之间的数据包将使用默认路由到达防火墙,而防火墙将有到每个端点的特定路由,因此它立即知道将数据包转发到哪个接口。无需任何技巧即可使该部分工作。