Virtualization
如何在 DMZ 中放置虛擬機?
我有一個 Ubuntu 12.04 伺服器,執行幾個帶有 KVM 的虛擬機。
我想在網際網路上公開其中一些虛擬機,讓客戶能夠測試我們正在開發的產品,並提供其他產品用於展示目的。
其中一個伺服器 NIC 配置有公共 IP。但是,在將任何內容暴露在網路上之前,我想確定如果其中一台虛擬機遭到入侵,攻擊者不會接觸到其他主機。
我想做的是將這些虛擬機放入DMZ中。
這些是我打算做的步驟:
- 在虛擬主機中創建一個tap介面(比如說tap1)
- 使用tap1創建一個網橋,並在與其他主機分開的子網中為其分配一個 IP。假設 10.0.0.1
- 將 DMZ 虛擬機附加到網橋並靜態配置其 IP(10.0.0.2、10.0.0.3 等…)
- 使用 UFW,禁止從 10.0.0.0/24 到任何內部主機的任何流量,允許從內部主機到 10.0.0.0/24 的流量,並使用埠轉發在 Web 上公開虛擬機。
你覺得這個設置安全嗎?您能提出任何改進或更好/更安全的方法嗎?
我想確保如果其中一台虛擬機受到威脅,攻擊者不會到達其他主機。
為此,除了適當的防火牆之外,您還真的需要sVirt,它與 RHEL6/CentOS 6 KVM 主機一起開箱即用。它甚至預設啟用並正常工作。我不知道它是否可以在 Ubuntu 設置中使用。