我们运行的ESXi主机总共有5个NIC。 到现在为止,它只托pipe我们内部networking的虚拟机。 我们也有一个防火墙,以便网上的用户可以浏览互联网(代理)。 防火墙是一个UTM设备,也有一个DMZ端口。 现在我想我们也可以把一个networking服务器(或类似的)放在一台虚拟机上,并通过互联网访问。 此虚拟服务器将在连接到防火墙的DMZ端口的ESXi上获得一个专用NIC。 这是一个好主意,还是有任何(安全相关的)对这种情况的考虑? 由于它是一个单独的网卡,它将在vCenter上获得自己的vSwitch,并且不会与内部networkingbuild立物理连接。 但是,vCenterpipe理整个主机,并且可以访问所有网卡等,所以我不确定这是否是最好的解决scheme。
这当然不是最好的解决scheme – 理想情况下,您将拥有独立的DM主机的VM主机。 如果你确实select这样做,你应该考虑一些问题:
第一个显而易见的情况是:有人可以利用漏洞攻击来监视虚拟机监狱,从而使得你的局域网主机不受DMZ攻击。 所以你应该在DMZ的客人和主机上跟上补丁,然后希望最好。
错误的configuration会造成严重的后果。 例如,想想你或其他人将DMZ和LAN上的NIC分配给某个主机的可能性。 现在你的DMZ和你的局域网是一回事。 当然,你可以通过强制执行程序来防止这种情况发生,但是你会看到你怎么说最后会形成一个更加脆弱的环境。
也就是说,如果现在不能使用单独的主机,它还是比没有DMZ更好,所以它可能是一个很好的解决scheme。 请记住,它不像在独立的主机和真实networking上使DMZ访客一样安全。
这种方法没有错。
我通常使用VLAN中继通过现有的链路进行DMZ,但是如果你想完全和完全分离,那么是使用另一个链路,并将该网卡分配到单独的vSwitch。 这应该让事情很好,为你分割。