我是否需要在 DMZ 中放置物理伺服器/主機來託管伺服器/應用程序?
我們正在搬到一個新辦公室,其中一部分是審查我們目前的 LAN/WAN 和伺服器對網路的訪問。
我了解 DMZ 的工作原理,但不知道是否需要在我的 2 個防火牆之間放置一個物理伺服器/主機,或者我可以對 DMZ 進行子網劃分/vNic 以及使用 vNic 的伺服器/虛擬伺服器。
今天我們有一個路由器和一個防火牆。這背後是我們所有的伺服器、應用程序伺服器、DC、VM 主機等。
我今天有 2 個應用程序(在虛擬伺服器上),可以從 Web 訪問(防火牆打孔)。兩者都不使用 AD 憑據,並且與本地 DB 使用者一起工作(無需 AD 憑據)。
- 兩者都是(目前)3 個 VM 主機中的 1 個中的虛擬伺服器。
- 我想將這 2 個應用程序移到 DMZ 中。
- 這也至少需要一個 IIS。
放置具有 2 個 NIC 的物理 VM 主機伺服器似乎有點奇怪(該主機將容納我需要的盡可能多的伺服器/應用程序伺服器)
- 這是單點故障
- 並且感覺不對(即使它可以/應該工作)
另一方面,我可以在我的一個主機中創建一個 vNic,並將其 IP 映射到兩個 Firwall。
router > wan_firewall_dmz > vNic to server > dmz_firewall_lan
> 給我的安全感不如前一個選項,並且出於某種原因,我感覺我“錯過”了 DMZ 的想法。那是對的嗎?
我錯過了什麼?
我是否需要在 DMZ 中放置物理伺服器/主機來託管伺服器/應用程序?
“也許”——這取決於您對虛擬化的偏執/信任程度。
如果您正在實施一個新的 DMZ,通常的方法是開闢一個單獨的 vLAN 並將 DMZ 子網放入其中,從而為您的 DMZ 有效地創建一個虛擬交換機。
如果您相信您的虛擬化軟體不會搞砸 vLAN,您可以在 VM Hypervisor 上創建一個虛擬交換機,將其放入 DMZ vLAN,然後將您要隔離的主機連接到該虛擬交換機。
您可以將虛擬交換機分配給單個物理 NIC(發送未標記的流量,並將交換機埠放入適當的 vLAN),或者對於大多數 VM 系統,您可以將虛擬機管理程序連接到交換機上的“主幹埠”並發送所有 vLAN 流量到你的開關標記,讓開關整理出來。
單點故障將以通常的方式消除(鏈路聚合、適合您的管理程序的虛擬機故障轉移等),並且您的整體維護負擔根本不應該增加——設置 vLAN 是一次性的事情.