我们正在迁移到一个新的办公室,部分是审查我们目前的LAN / WAN和服务器访问networking。
我了解DMZ是如何工作的,但是不知道是否需要在我的两个防火墙之间放置物理服务器/主机,或者我可以使用vNic对DMZ和服务器/虚拟服务器进行子网划分/ vNic。
今天我们有一个单一的路由器和单个防火墙。 它背后是我们所有的服务器,应用程序服务器,DC,VM主机等。
我今天有2个应用程序(在虚拟服务器上),可以从networking访问(防火墙打孔)。 两者都不使用AD凭证,并且与本地DB用户一起工作(不需要AD凭证)。
放置一个具有2个NIC的物理VM主机服务器似乎有点奇怪(该主机将容纳我需要的尽可能多的服务器/应用程序服务器)
另一方面,我可以在我的主机中创build一个vNic,并将其IP映射到两个Firwalls。
router > wan_firewall_dmz > vNic to server > dmz_firewall_lan >给了我更less的安全感,因为某种原因,我有一种感觉,我错过了DMZ的想法。
那是对的吗?
我错过了什么?
我是否需要在DMZ中放置物理服务器/主机来托pipe服务器/应用程序?
“也许” – 这取决于你对虚拟化的偏执/信任程度。
如果你正在实施一个新的DMZ,通常的做法是创build一个单独的vLAN并将DMZ子网放入其中,为DMZ创build一个虚拟交换机。
如果您相信您的虚拟化软件不会破坏vLAN,则可以在虚拟机pipe理程序上创build虚拟交换机,将其放到DMZ vLAN中,然后将要分离的主机连接到该虚拟交换机。
您可以将虚拟交换机分配给各个物理网卡(发送未标记的stream量,并将交换机端口分配到相应的vLAN中),或者在大多数虚拟机系统中,可以将虚拟机pipe理程序连接到交换机上的“中继端口”并发送所有vLANstream量到你的交换机标记,让交换机sorting出来。
以通常的方式(链路聚合,适合虚拟机pipe理程序的虚拟机故障切换等)将消除单点故障,并且您的整体维护负担不应该增加 – 设置vLAN是一次性的事情。
DMZ中不需要物理主机。 您可以使用VLAN定义(最好是从您的虚拟环境到您的DMZnetworking的专用物理networking接口(pNICS))完成此任务。