对虚拟机和物理机的小型网络(约 15 台服务器)进行子网划分的最佳做法是什么?
它应该有多细粒度?您是否希望为网络中的每个独立功能设置一个逻辑子网或 VLAN?
这里的指导原则通常是什么?
我还应该补充一点,这是一个小型网络,其唯一目的是为小型企业托管面向公众的网站和应用程序。除了来自互联网的用户外,不会有任何其他外部用户。
答案1
没有“最佳实践”。如何隔离设备取决于您的安全需求(资产、风险、漏洞、ETC) 以及设备如何相互通信。每个系统都不同,我们不可能替您决定。
话虽如此,一般来说,如果您想限制设备或系统之间的流量,将它们放在单独的子网 (VLAN) 中会更容易。然后,您可以限制子网之间的访问。
请记住,VLAN 本身提供不安全性。您需要将访问控制列表(或其他类型的过滤)应用于 VLAN 接口,以强制执行您想要的任何安全策略。
答案2
对虚拟机和物理机的小型网络(约 15 台服务器)进行子网划分的最佳做法是什么?
最好的解决方案可能是私有VLAN,这允许您的服务器与公共上行链路进行通信,但不能相互通信。这减少了配置开销,但也使攻击者的横向移动变得更加困难。