据我所知,VLAN使pipe理更容易,并在许多安装有助于安全。
如果我有一个数据库服务器和几个(3-4)应用程序服务器与数据库通信,应用程序服务器之间没有通信,我需要一个VLAN吗?
我可以打开数据库服务器上的每个应用程序服务器的一个端口,我是“安全的”,正确的?
有人可以解释一下,在这个和类似的情况下,VLAN是否有优势?
我问这是因为许多提供商收取额外的费用来在服务器之间设置VLAN,例如OVH vRack。
VLAN是虚拟局域网。 因此,他们限制哪些主机可以相互交谈。 它们可以成为安全networking的重要组成部分,其中某些资源(如数据库服务器,pipe理界面等)只能访问更为有限的一组人员/机器/服务。
例如,如果您的networking服务器连接到另一台服务器上的后端数据库,则可能有: 1.2.3.1 VLAN1 1.2.3.4 5.6.7.8 VLAN2 5.6.7.9 Internet <---> Router <------------> Webserver <--------------> DB Server
因此,你的数据库服务器不能连接到互联网(没有路由,因为VLAN,没有物理连接),反过来攻击者到达数据库服务器,他们将不得不首先通过你的networking服务器。
在许多情况下,您可以通过使用严格的防火墙规则或tcpwrapper来实现类似的安全目标。 例如,如果数据库服务器应该只接收来自networking服务器的连接,则创build一个这样的规则。 对于您的pipe理协议,例如SSH,也应该这样做。
最后,是的,VLAN可以作为分层安全模型的一部分。 您还应该使用防火墙,身份validation,更新以及更多的控制措施,作为纵深防御战略的一部分。
StackExchange的安全站点上有一个很好的问题关于VLAN。 为什么人们告诉我不要使用VLAN来保证安全?
我想说完全取决于你认为的“安全”。 VLAN是虚拟局域网。 一个简单的方法来考虑它是作为物理交换机。 如果您将所有服务器插入到一台交换机中,并将数据库服务器插入另一台交换机,并在两者之间安装防火墙或路由器。 除了全部在同一个物理交换机(或多个交换机)上并且将端口划分到不同的LAN之外,VLAN本质上performance相同。 您仍然需要一些设备在VLAN之间进行路由,例如防火墙或路由器,您可以在其中定义VLAN之间可以和不可以得到的规则。
就安全性而言,这是一种逻辑上的stream量分离,允许您控制设备之间的访问。 例如,您只允许从应用程序服务器访问数据库软件端口(即3306 for MySQL)的数据库访问,这意味着您无法从应用程序服务器到数据库服务器启动SSH或RDP。 这样可以降低某些人损害应用程序服务器的风险,并且更容易访问数据库服务器。 这些也可以通过良好的服务器防火墙规则进行pipe理。
这通常被认为是关于安全和angular色分离的“第一步”之一(例如,数据库服务器的pipe理只能从可信主机访问)。 但是,这样的事情并不能防止糟糕的应用程序代码或数据库权限问题或数据库软件错误。
VLAN(Virtual Local Area Network,虚拟局域网)是设备的逻辑集合,被分组在一起以控制第2层设备(如以太网交换机)中的广播,单播和组播stream量。 VLAN可以是本地重要的,或者在多个第2层设备上被中继。
VLAN提供以下好处:
安全性 – 从networking的其他部分分离敏感数据的系统会降低人们获取他们未被授权查看的信息的机会。
性能/带宽 – 仔细监控networking使用情况,networkingpipe理员可以创buildVLAN,减less路由器跳数,为networking用户增加明显的带宽。
广播/业务stream – 由于VLAN的主要元素是它不会将广播stream量传递给不属于VLAN一部分的节点,因此会自动减less广播。 访问列表为networkingpipe理员提供了一种控制谁可以查看networkingstream量的方法。 访问列表是networkingpipe理员创build的一张表,列出哪些地址可以访问该networking。
部门/特定的工作types – 公司可能希望为networking用户较多的部门(如多媒体或工程)设置VLAN,或者针对特定types的员工(例如经理或销售人员)跨部门的VLAN。