我明白,要获得一个合适的 DMZ ,应该在DMZ服务器和LAN服务器之间有一个物理隔离,防火墙服务器介于两者之间。
但是,在由一个包含两个或多个运行多个虚拟服务器的刀片服务器的刀片机箱组成的networking中,可以devise的最接近DMZ的最接近的设备是什么?
更多详细信息:虚拟服务器(主要是Windows)在刀片式服务器上的VMWare环境中运行,以及刀片式服务器机箱和Internet之间的物理防火墙盒式磁带。
设置交换机在vLan上运行“DMZ”networkingstream量,并且要非常小心vLanstream量允许去哪里。
我的一个站点有一个交换机,互联网stream量直接插入交换机端口24(用一个大的标签说明端口24是否卡在交换机上)。 交换机configuration为使端口24为vLan 20(无标签); 端口1的vLan 20(标记),它是主路由器; 没有其他港口获得vLan的stream量。 路由器只有一个networking连接。 这是理想的,可能不是,但是没有什么错或安全的方式不安全。
你的防火墙可以处理的不仅仅是“内部”和“外部”networking吗? 如果可以处理三个networking,则应将其定义为“LAN”,“DMZ”和“Internet”,然后将这些接口连接到不同的交换机(或受pipe交换机上的不同VLAN)。
如果防火墙无法处理DMZ,则需要以不同的方式设置networking(并添加另一个防火墙)。 无论如何,你最终会得到两个逻辑上分离的网段,局域网和DMZ,它们只能通过防火墙进行通信。
然后,您应该select是否仅在networking级别分离虚拟机,或者实际上是否希望DMZ虚拟机在不同于LAN虚拟机的主机上运行。
在第一种情况下,每个ESX主机至less应有三个networking接口:一个用于服务控制台(连接到局域网),一个用于连接虚拟机到局域网,一个用于连接虚拟机到DMZ; 如果您需要VMotion,也可以为此添加另一个界面。
在第二种情况下,每个主机至less需要两个接口:一个用于服务控制台(总是连接到LAN,不需要在DMZ中),另一个用于VM通信。 同样,如果您需要VMotion,则需要另一个界面。
我知道HP的C级刀片是最好的,并且在同一个机箱中有多个区域,并且具有以下几种鱼子酱,所以不存在任何问题;
除此之外,我自己也很开心,但是非常特别的是,我不信任纯粹的基于VLAN边界的安全性 – 我知道,即使是最近的思科硬件/ IOS也可能是“VLAN跳跃” – 因此我坚持不同的交换机。