好的,这是一个有趣的问题。 分两部分:
或者回到第一点,我应该把这个想法完全放弃,把TMG放在一个单独的物理机器上吗? (所以我撒谎,我想这是三部分)。
澄清我的devise如下(所有在物理盒子上运行)
计算机A – Hyper-V主机无法访问通过Hyper-V创build的仅主机NICS虚拟networking。 也运行(目前)DMZ DC与单向信任到内部域。 和DNS / DHCP的内部。 仅连接到DMZ虚拟networking。
机器B – TMG访客机器三脚configuration:外部连接到分配有公共IP的物理网卡。 内部和DMZ都连接到虚拟networking。 防火墙规则允许机器A处理与内部DC / DNS的AD通信。 DMZ的物理网卡也连接到无线AP。
机器C- ?? 内部networking服务和客户端它们连接到内部虚拟networking,并根据具体情况进行访问。
一切工作正常,我只是想确保我没有在这个configuration的networking中创build一个大洞。
看起来,微软已经“正式”宣布支持Hyper-V上的TMG – http://www.microsoft.com/forefront/threat-management-gateway/en/us/default.aspx
正如塔塔斯所言。 仅仅因为TMG在虚拟机pipe理程序中,虚拟机pipe理程序本身没有技术要求。 pipe理程序下的虚拟到物理NIC分配是将TMG放入正常运行configuration的唯一要求。 hyperisor可以根据您的“正常”部署为虚拟机pipe理程序保留每个环境。
只要没有猖獗的虚拟机pipe理程序漏洞,那么运行TMG和类似的产品应该与物理硬件一样“安全”。
有了这个说法,在解决和/或响应带外情况(例如,networking利用率高峰,系统pipe理程序问题等)时,在物理硬件上进行周边types应用可能会有一些运营优势。
我们在VMWARE中运行TMG,所以是的虚拟化肯定是一个可行的select。 Hyper-V也不例外。 您可以专门为TMG客户创build一个新的VMnetworking。 这将有助于隔离nics /stream量。
我们的TMG被公开处理(我们用它们来反向代理交换)。 我不认为把它放在非军事区的压倒性的理由,但确切知道你打算如何使用它是有帮助的。