我是一个耳熟能详的系统pipe理员,所以我在这里追赶。 我之前遇到过DMZ这个词,但直到最近我才看过。 实际上,我仍然不确定设置中涉及到什么。 我会继续我的学习和testing项目。
但足以说我喜欢这个想法。
我有一个小企业客户,我想实施这个概念。 他正在运行一些客户机/虚拟机的WSE 2012 R2。
问题在于,他不想certificateServer 2012 R2许可证的成本,特别是在他的小型域名中,这是唯一的目的。
所以我的问题是:我能否在DMZ中使用运行在虚拟机上的非域join的CentOS实例?
编辑:
在评论者的帮助下,我能够更好地解释我的问题:
我能否将一个运行在虚拟机中的非join域的CentOS实例(例如)插入到他的DMZ中,而不会中断内部的Windowsnetworking?
TL; DR
回答你的第一个问题:你当然可以有一个CentOS虚拟机连接到你的DMZnetworking部分,但是服务器本身不是DMZ
回答你的第二个问题:是的,把一个非域名joinCentOS虚拟机到一个DMZ而不会中断内部networking是肯定可能的。
多一点细节
DMZ是一个独立的networking区域,可以防止来自内部局域网和外部世界(互联网)的不必要的stream量。 通常这采取外围networking的forms,即您的networking看起来像这样
Internet <-> DMZ <-> Internal LAN 你的内部局域网将有你的通常的客户端,服务器等,并将被locking,所以外面的世界不能访问这部分networking上的networking设备,虽然根据你的政策,这些设备很可能可以访问互联网出站stream量默认允许,入站阻止)。
DMZ将包含需要从互联网访问的服务器。 您完全lockingDMZ,然后只打开您需要的特定端口,以使您所暴露的外部世界的服务能够正常运行(例如标准Web服务器的端口80和443 TCP)。
在传统的物理DMZ设置中,您可以使用路由器来设置VLAN,并将DMZ放置在一个单独的VLAN内部networking上。 然后,您将设置防火墙规则,只允许在特定端口上访问DMZ VLAN上的服务器。 再次以Web服务器为例,您可以将端口80和443打开到外部世界以进行入站连接,也可以打开端口22(ssh)入站到内部LAN,仅用于pipe理目的。 通常,您还可以设置出站规则,以禁止出站networking访问(除了您需要的特定端口)或响应允许的入站networking通信。
您指的是虚拟化环境(推测在Hyper-V中)。 当然可以设置多个VLAN,并将这些VLAN路由到单个Hyper-V主机(可能在主机上使用多个物理网卡)。 然后,您可以使用Hyper-V中的虚拟交换机将内部虚拟机(在内部VLAN上)与DMZ中的服务器(在DMZ VLAN上)隔离。
如果您以前在ISP提供的家庭宽带路由器中遇到过DMZ这个术语,那么请注意,这不是一回事。 所有这些路由器都倾向于将每个端口从外部开放到交换机上的特定接口。 不涉及VLAN,全部在同一个物理交换机上。 除非你非常小心地增加额外的安全性,否则这通常是一个巨大的安全漏洞。 上面简要介绍的企业级DMZ在正确configuration的情况下是更安全的事情。
边注。 我不是networking专家。 如果有人真正了解他们正在谈论的内容,并且想要纠正错误,请不要犹豫… 🙂