我们有一个“绿色”networking(LAN)和一个“橙色”networking(DMZ)的Smoothwall防火墙,我们希望使用OpenVPN接入服务器作为我们的VPN服务器。
问题是:VPN服务器应该在LAN还是DMZ? 而且,如果在DMZ中,VPN连接的客户端应该如何访问LAN资源(例如Samba共享或Windows远程桌面)?
(我知道这应该是一个基本的问题,但是我花了很多时间在网上search,似乎大多数人推荐把VPN服务器放到DMZ中,但是我不清楚怎么可能从VPN服务器访问局域网中的资源,同时又不损害具有DMZ的安全原则。)
任何回应将不胜感激!
编辑:我无法find任何关于如何在网上进行的质量解释。 另一个build议( http://www.antionline.com/showthread.php?228254.html )是将VPN服务器与防火墙并联。 对我来说,这听起来更糟,然后端口转发到局域网本身。
你的回答是在你的问题:
如果在DMZ中,VPN连接的客户端应该如何访问LAN资源…
取决于你的目标是什么…
把VPN放在你的DMZ里是一件很愚蠢的事情,因为你的DMZ 在你的架构中是一个高级的互联网区域 。
把VPN放在你的局域网中意味着你知道你在做什么。
你甚至可以build立一个DMZ bis ,它有限制,监控和控制访问你的局域网,而不能从互联网上访问。 这需要这样一个先进的防火墙或两个级联的防火墙。