我应该把我们的networking服务器(DMZ /内部networking)还是只是做一对一的NAT?
我正在设置一个服务器机架,它将有2台Web服务器和10台提供后端应用程序支持(从AWS环境迁移)的内部服务器。 我们将在这些框上运行虚拟机实例。
在我使用的大多数企业networkingconfiguration中,他们双networking服务器,所以一个NIC位于DMZnetworking上,另一个位于内部(非互联网可路由)networking上。
安全方面的好处是否足以保证DMZ中的两台networking和双宿主机能够使用较小的12台服务器? 该应用程序是一个关键的networking应用程序。
最后要考虑的一个好处是,单独的networking降低了内部networking饱和带宽的风险,DMZnetworking可以不受影响(1Gbit接口,我们可以将2Gbit进入支持1.5Gb全状态吞吐量的防火墙)。
- 如何使用authorized_keys文件中的“command”选项来保护ssh密钥而不使用密码?
- 域安全与森林安全
- 如何保护设备免受未经授权的复制?
- Docker远程访问安全
- 如何检测您的Web服务器上的forms垃圾邮件?
所以最终这就是我们所说的我认为的:
安全方面的好处是否足以保证DMZ中的两台networking和双宿主机能够支持较小的12台服务器? 该应用程序是一个关键的networking应用程序。
绝对如此 。 面向公众的服务应该在非军事区隔离。 期。 任何大的坏的互联网可以达到的应该从你的内部networking和它的服务中分离出来。 这大大限制了安全漏洞的范围和破坏。 这是最低特权原则和function分离的良好应用。
在我使用的大多数企业networkingconfiguration中,他们双networking服务器,所以一个NIC位于DMZnetworking上,另一个位于内部(非互联网可路由)networking上。
我会更进一步。 您描述它的方式,您的服务器将有可能充当互联网和您的networking其余部分之间的桥梁,从而完全绕过DMZ在有安全漏洞的情况下。 您的服务器应保持在DMZ上,并且只能通过防火墙或VPN等控制点访问。 他们不应该直接连接到您的内部networking上的任何东西 。 这将使DMZ的全部失效。
这是一个显示逻辑devise的图表。 逻辑devise的实现真的取决于你。 我试图做的要点是,你想要在你的内部服务器和你的DMZ服务器之间进行任何访问, 通过某种方式来控制,监视和logging这些连接。 下面是一个例子,希望能够澄清我在说什么:
假设你的提供者给了你203.0.113.0/28的地址空间。 您决定把它分成两个独立的子网:DMZ机器为203.0.113.0/29,内部机器为203.0.113.8/29。 防火墙位于整个设置和Internet之间,有三个接口:一个用于提供商的上行连接,一个用于203.0.113.0/29,另一个用于203.0.113.8/29。 任何这些networking之间的任何通信都将通过防火墙,在那里你可以做以下重要的事情:A)有select地只通过你需要的stream量在主机之间,B)监视和loggingstream量。 真正的目标是在这些networking之间不应有直接的交stream。 这是你应该争取的理想。