我是一个初出茅庐的系统管理员,所以我正在努力学习。我以前听说过 DMZ 这个术语,但直到最近我才开始研究它。事实上,我仍然不确定设置中到底涉及什么;我将继续我的研究和测试项目。
但我可以说我喜欢这个想法。
我有一位小型企业客户,我想为他实施这个概念。他正在运行 WSE 2012 R2 和一些客户端计算机/虚拟机。
问题在于他不愿意为 Server 2012 R2 许可证花费成本,尤其是为了在他的小型域中实现这个唯一目的。
所以我的问题是:我是否可以使用在 VM 中运行的未加入域的 CentOS 实例(例如)作为他的 DMZ?
编辑:
在评论者的帮助下,我能够更好地表述我的问题:
我是否能够将在 VM 中运行的未加入域的 CentOS 实例(例如)插入到他的 DMZ 中,而不会中断内部 Windows 网络?
答案1
总结
回答你的第一个问题:当然,你可以将 CentOS VM 连接到被视为 DMZ 的网络部分,但服务器本身不是 DMZ
回答你的第二个问题:是的,如果操作正确,将未加入域的 CentOS VM 放入 DMZ 而不中断内部网络肯定是可能的。
更多细节
DMZ 是网络中的一个独立区域,可防止来自内部 LAN 其余部分和外部世界(互联网)的不必要流量。这通常采用外围网络的形式,即您的网络看起来像这样
Internet <-> DMZ <-> Internal LAN
您的内部 LAN 上将有您常用的客户端、服务器等,并且将被锁定,以便外界无法访问该部分网络上的网络设备,但根据您的策略,这些设备很可能可以访问互联网(默认情况下允许出站流量,阻止入站流量)。
DMZ 将包含需要从互联网访问的服务器。您可以完全锁定 DMZ,然后只打开需要的特定端口,以便使向外界公开的服务能够正常运行(例如,标准 Web 服务器的端口 80 和 443 TCP)。
在传统的物理 DMZ 设置中,您将使用路由器设置 VLAN,并将 DMZ 放在与内部网络不同的 VLAN 上。然后,您将设置防火墙规则,以仅允许在特定端口上访问 DMZ VLAN 上的服务器。再次以 Web 服务器为例,您可以向外界开放端口 80 和 443 以进行入站连接,并仅出于管理目的向内部 LAN 开放端口 22 (ssh)。通常,您还会设置出站规则,以禁止出站网络访问,但您需要的特定端口除外,或者响应允许的入站网络流量。
您指的是虚拟化环境(大概是在 Hyper-V 中)。当然可以设置多个 VLAN 并将它们路由到单个 Hyper-V 主机(可能使用主机上的多个物理网卡)。然后,您可以使用 Hyper-V 中的虚拟化交换机将内部虚拟机(在内部 VLAN 上)与 DMZ 中的服务器(在 DMZ VLAN 上)隔离。
如果您以前在 ISP 提供的家庭宽带路由器中遇到过 DMZ 一词,那么请注意,这实际上并不是一回事。所有这些路由器往往都会将来自外部世界的每个端口开放到交换机上的特定接口。不涉及任何 VLAN,它们都在同一个物理交换机上。除非您非常小心地添加额外的安全性,否则这通常是一个巨大的安全漏洞。如果配置正确,上面简要描述的企业级 DMZ 会更加安全。
附注:我不是网络专家。如果任何人真正理解他们在说什么,并想提出更正,请随意... :)