我有一台 Ubuntu 12.04 服务器,其中运行着一些带有 KVM 的虚拟机。
我想在互联网上展示其中一些虚拟机,以便客户测试我们正在开发的产品,并提供其他产品用于演示目的。
其中一个服务器 NIC 配置了公共 IP。然而,在网络上公开任何内容之前,我想确保如果其中一个虚拟机受到攻击,攻击者不会影响到其余主机。
我想做的是将这些虚拟机放入非军事区。
以下是我计划执行的步骤:
- 创建一个轻敲虚拟化主机中的接口(假设点击1)
- 使用创建桥点击1并给它一个与其他主机不同的子网 IP。假设是 10.0.0.1
- 将 DMZ 虚拟机连接到网桥并静态配置其 IP(10.0.0.2、10.0.0.3 等...)
- 使用 UFW,禁止从 10.0.0.0/24 到任何内部主机的任何流量,允许从内部主机到 10.0.0.0/24 的流量,并使用在 Web 上公开虚拟机转发端口。
您认为这种设置安全吗?您能建议任何改进或更好/更安全的方法吗?
答案1
我想确保如果其中一个虚拟机受到攻击,攻击者无法攻击其余主机。
为了这,除了适当的防火墙,你真的需要虚拟,它随 RHEL6/CentOS 6 KVM 主机一起开箱即用。它甚至默认启用并运行。我不知道它是否适用于 Ubuntu 设置。