据我所知,VLAN 使管理更容易,并且在许多设置中有助于提高安全性。
如果我有一个数据库服务器和几个(3-4)个与数据库通信的应用程序服务器,而应用程序服务器之间没有通信,那么我需要 VLAN 吗?
我可以为数据库服务器上的每个应用程序服务器打开一个端口,这样就“安全”了,对吗?
有人可以解释一下在这种情况下以及类似情况下 VLAN 是否有任何优势吗?
我之所以问这个问题,是因为许多提供商都会收取在服务器之间设置 VLAN 的额外费用,例如 OVH vRack。
答案1
VLAN 是虚拟局域网。因此,它们限制了哪些主机可以相互通信。它们是安全网络的重要组成部分,在安全网络中,某些资源(如数据库服务器、管理接口等)只能由一组非常有限的人员/机器/服务访问。
例如如果你有一个连接到另一台服务器上的后端数据库的 Web 服务器,你可能会有:
1.2.3.1 VLAN1 1.2.3.4 5.6.7.8 VLAN2 5.6.7.9 Internet <---> Router <------------> Webserver <--------------> DB Server
因此,您的数据库服务器无法连接到互联网(没有路由,并且由于 VLAN,没有物理连接),相反,对于攻击者来说,他们要到达数据库服务器,他们必须首先通过您的网络服务器“枢转”。
在许多情况下,您可以通过使用严格的防火墙规则或 来实现类似的安全目标tcpwrapper
。例如,如果数据库服务器只应接收来自 Web 服务器的连接,请创建一条规则来执行此操作。对于管理协议(如 SSH),也应执行相同的操作。
最后,VLAN 可以作为分层安全模型的一部分。您还应该使用防火墙、身份验证、更新和许多其他控制作为纵深防御策略的一部分。
StackExchange 安全网站上有一个关于 VLAN 的好问题。为什么人们告诉我不要为了安全而使用 VLAN?
答案2
我认为这完全取决于您认为什么是“安全的”。VLAN 是虚拟局域网。一种简单的理解方式是将其视为物理交换机。如果您将所有服务器插入一个交换机,将数据库服务器插入另一个交换机,并在两者之间设置防火墙或路由器。VLAN 的行为基本相同,只是它们都位于同一个物理交换机(或多个交换机)上,并将端口划分为不同的 LAN。您仍然需要一些设备在 VLAN 之间进行路由,例如防火墙或路由器,您可以在其中定义 VLAN 之间可以和不能访问的规则。
在安全性方面,它是流量的逻辑分离,允许您控制设备之间的访问。例如,您只允许从应用服务器到数据库软件端口(即 MySQL 的 3306)的数据库访问,这意味着您无法从应用服务器启动 SSH 或 RDP 到数据库服务器。这降低了有人破坏应用服务器的风险,并更容易访问数据库服务器。这些也可以通过良好的服务器防火墙规则进行管理。
这通常被认为是安全性和角色分离方面的“第一步”(例如,数据库服务器的管理只能从受信任的主机访问)。但是,这种做法无法防止糟糕的应用程序代码、数据库权限问题或数据库软件错误。
答案3
VLAN(虚拟局域网)是一组设备的逻辑集合,这些设备组合在一起以控制第 2 层设备(例如以太网交换机)中的广播、单播和多播流量。VLAN 可以是本地重要的,也可以是跨多个第 2 层设备的中继。
VLAN 具有以下优点:
安全– 将包含敏感数据的系统与网络的其余部分分开,可以减少人们获取未经授权查看的信息的机会。
性能/带宽– 通过仔细监控网络使用情况,网络管理员可以创建 VLAN,以减少路由器跳数并增加网络用户的表观带宽。
广播/流量– 由于 VLAN 的一个主要元素是它不会将广播流量传递给不属于 VLAN 的节点,因此它会自动减少广播。访问列表为网络管理员提供了一种控制谁可以看到哪些网络流量的方法。访问列表是网络管理员创建的表格,其中列出了哪些地址可以访问该网络。
部门/具体工作类型– 公司可能希望为网络使用量很大的部门(如多媒体或工程部门)设置 VLAN,或者跨部门设置专用于特定类型员工(如经理或销售人员)的 VLAN。