我在 Hyper-v 中尝试创建 DMZ 虚拟机时遇到一些问题。
首先,我想创建一个 DMZ,以便可以远程管理公司的智能手机。我们安装了 ESET ERA 服务器,因此我们想在 DMZ 环境中安装移动设备连接器。
主机有 2 个 NIC,一个用于 LAN,另一个用于 DMZ。我为第二个 NIC 创建了一个虚拟交换机,并将其用作 DMZ 计算机的外部交换机。DMZ 计算机必须连接到安装了 ESET 远程管理员的虚拟服务器。至少要使用 SQL。
我们有一个 Watchguard XTM 26 防火墙,我创建了一个可选接口(因为 watchguard 不使用术语 DMZ),并将第二个 NIC 直接连接到可选接口。现在,该机器不应该与 LAN 的其余部分有任何联系,但我可以从任何 PC 对其进行 ping 操作,除了我们拥有的其他虚拟服务器。
我的想法是创建 DMZ 环境,将 DMZ 上的服务器隔离,并通过防火墙控制连接。
我考虑了各种政策,但看到 DMZ 服务器与 LAN 有连接,我不知道它将如何运作。
我的问题是:您能看出我做错了什么吗?或者您能向我展示做类似事情的良好做法吗?
如果您需要更多信息,请告诉我。
谢谢。
答案1
所以您将其中一个端口从 Watchguard 上的交换机组中分离出来了?我不知道 Watchguard 上的所有 LAN 端口是否默认位于交换机组中。
我在 Watchguard 设备的背面没有看到任何标有“选项”的东西。
您将需要为 DMZ 网络设置默认网关,然后为 LAN 适配器的内部子网创建静态路由。
答案2
看起来 Watchguard 允许可选接口和受信任接口之间的通信。这就是问题所在。我认为默认情况下它不允许可选接口和受信任接口之间的通信。我所要做的就是创建策略“拒绝从受信任接口到 DMZ 的所有内容”。
感谢大家的时间。