我最近购买了一台运行 esxi 5.5 的 poweredge,并正在创建一个用于渗透测试的网络。目前,我的主网络和渗透测试网络是完全独立的实体,没有任何连接。主网络在 192.168.1.0/24 中运行,而渗透测试网络将被分配 10.0.0.0/27。
我想将渗透测试网络(即易受攻击的网络)连接到互联网进行外部测试,但这需要与主网络共享路由器。
我如何才能隔离这两个网络,让它们都能接收互联网,但 192.168.xx 和 10.xxx 之间无法通信?这个网络将具有中等到非常高的脆弱性,并且很容易成为攻击目标。我想尽一切努力将对真实网络的影响降到最低。
更新:因此,目前渗透测试网络是单个 ESXi 和 2 台笔记本电脑连接到 linksys soho 路由器。没有 VLAN,没有花哨的东西。只有一个插入 soho 路由器的 poweredge。虽然最终会计划升级路由器,但我现在并不关心这一点。这个网络没有连接到任何其他东西。
主网络是一个 ddwrt soho 路由器,连接 2 个工作站、一个媒体服务器和未知数量(平均 5 个)无线设备,并连接到互联网。您的基本 192.168.1.0/24 家庭网络,带有 NAT。
更多的路由器、防火墙、IDS,任何东西都可以根据安全需要购买/虚拟化,预算和时间现在不是问题,但到目前为止它是一种标准设置。
答案1
这几乎与 ESXi 主机无关 - 这是路由问题 - 您只需要从路由器发出两个单独的 VLAN,它们都有外部路由,并且它们之间没有路由。然后只需将这些 VLAN 中继到您的 ESXi 上行链路并在您的 vSwitch 中创建两个 VLAN 标记端口组。就是这么简单。
答案2
请提供一些有关您的网络设置的信息。ESXi 服务器如何连接到网络?您如何路由您的网络?您拥有哪种类型的 Internet 上行链路,它如何连接到您的网络?您使用 VLAN 吗?您创建了哪种类型的网络来连接虚拟机?
你们两个网络都是私有的,所以你需要某种路由才能访问互联网。你可以简单地决定不在路由器上的两个网络之间路由,这样就可以阻止从一个网络到另一个网络的通信,我猜情况就是这样的。