我正在将服务器机房迁移到数据中心,现在是审查当前安全区域设置的好时机。我们正在使用Vsphere 4 Standard和Cisco ASA 5510防火墙。 目前,防火墙是所有DMZ,LAN,WAN和后端区域的单一连接点,因此所有区域之间的所有stream量都会穿越此100 Mb / s防火墙设备。
这工作了一段时间,但是我们部署的新服务将需要一些区域之间的快速连接,即数据库查询和文件传输,因此100Mb / s将成为瓶颈。
为DMZ提供的可能解决scheme之一:
– 为每个DMZ主机使用单独的VNIC,一个用于客户从WAN访问的外部连接,一个用于连接到后端/ LAN区域。 – 因此,VNIC1连接到防火墙,用于过滤外部不可信的连接。然而,VNIC2通过安装防火墙,并且所有的过滤都在iptables级别或Windows 2008防火墙上完成。这解决了防火墙强加DMZ和后端之间带宽限制的问题。
然而,这种devise去除了我们以前使用过的一个设备的集中安全模型,并且创build了与服务器绑定的分散的iptables设置的pipe理难题。 应该有更好的方法去做,你会有什么build议? 我有一种感觉,Vsphere Enterprise Plus中的function可能对此有所帮助,例如分布式交换机和vShield区域。 我们计划在明年拿到它,但即使这有助于我们仍然需要一些解决scheme。
我将不胜感激任何build议或阅读材料,
非常感谢
谢尔盖
看来我描述的devise是要走的路。一个解决办法就是让防火墙获得更高的吞吐量,但是我的研究表明这并不值得。
我将ippet添加到木偶安装,并做类似的Windows防火墙。