我想在一台机器上运行我的防火墙/ NAT软件(pfsense)和一个内部NAS(现在看freenas)。 现在我有两台不同的机器把它们分开,但是我想整合它们。 这通常是一个坏主意? 如果防火墙或主机操作系统受到威胁,那么我会看到安全问题,那么您的数据基本上就会被拧紧。 但这真的是我的一个担忧吗?
对于小型办公室的使用,只要不是通过它来抽取大量的stream量,从安全的angular度来看,我不认为这是一个坏主意,尽pipe从冗余/可靠性来看这是一个坏主意立场。 确保你有一个很好的备份程序!
就我个人而言,我喜欢单独的机器,因为如果一个人被炸,它并不会把所有的东西都拿下来 虚拟机服务器可以节省能源,噪音和pipe理方面的麻烦,但确实会造成单点故障,所以在编制预算时需要考虑这些问题。 如果明天你完全失去了计算机,那么有多less数据要归还给你? 这应该是你愿意花多less钱在备份硬件上。
为了安全起见,虽然可能有一些关于争议的问题,但实际上你可以通过networking进行设置,这样就可以很好地分割出来,以防止大部分攻击问题发生,只要你保持更新并监视日志(当然,做出体面的备份)。 我所看到的唯一的其他安全问题是,一般来说你不能相信一台机器来监控自己; 有些东西会受到威胁,那么它可以报告日志和数据的内容。 一个外部系统进行IP监测/logging/等。 在监视networking内部发生的情况(除非防火墙系统受到了危害,但是许多设备可以从只读数据分区来保存日志/caching到只读图像中运行)更为可靠。
再一次,从你所描述的情况来看,我认为在整合过程中你不会有太大的损失,并且从长远来看可能会获得更多的收益,只要你有一个备份和备用设备的计划,您的VM服务器在硬件故障后联机。 你没有提到你正在考虑的虚拟机服务器,但是我认为你可能错误地想到了像VMWare ESXi或Linux裸机pipe理程序这样的东西。 一般来说,运行裸机系统pipe理程序,而不是在常规服务器或工作站操作系统之上运行它,攻击面不会太大。
你的数据有多宝贵? 机器很便宜。 你的时间不是。
我倾向于使用单独的机器来保持configuration和维护尽可能简单。 加上你的数据需要两个闯入,而不是一个。
这是你自己决定的。 任何直接与互联网连接的东西,即使是防火墙,在大多数情况下都将成为第一个妥协点。 对于任何NAT的内部networking服务器来说也是如此,这将基本上使该网段成为DMZtypes。
在SOHO环境中,我经常喜欢将主边界路由器/防火墙和文件服务器作为单独的服务器。 即便如此,依赖于现有的资源,我也许会这样做。 SOHO和企业的服务水平差别很大,即使是我的家庭办公室也是如此。 我个人会妥协,我不会鼓励客户做。