我正在尝试使用Citrix虚拟化一些应用程序。 所以我必须将Citrix Secure Gateway公开给Internet(把它放在DMZ中)。
我的问题是哪个更好的做法?
谢谢
如果还有其他解决scheme,我会避免NAT。 而你的情况听起来好像可以在不需要NAT的情况下处理。 如果你的防火墙有三个networking接口,那应该相当简单。
您将一个公有IP地址分配给防火墙的外部接口,并将另一个公有IP地址分配给DMZ内的服务器。 防火墙需要一条静态路由,告诉它该服务器的IP地址是直接连接在DMZ接口上的。 根据防火墙WAN侧的networkingconfiguration,您可能还需要configuration防火墙以代表服务器响应ARP请求。
最后,需要configuration防火墙,使得服务器的公共IP地址与其他主机之间的stream量不会被NAT转换,而不pipe其他IP地址是在LAN还是在互联网上。 您可能仍然希望防火墙对stream量应用一些有状态的过滤,但这不在此问题的范围之内。
在这种情况下,从局域网到服务器的数据包将到达防火墙,并在没有任何NAT发生的情况下转发到DMZ,同样来自Internet的数据包也将被转发到DMZ,而不需要任何NAT。
服务器可以不通过NAT连接到互联网,另外它可以连接到局域网(如果防火墙允许的话),也不会经过任何NAT。
局域网和服务器之间的数据包将使用默认路由到达防火墙,并且防火墙将具有到每个端点的特定路由,因此它立即知道哪个接口转发数据包。 没有任何技巧需要使这部分工作。