複雜的伺服器/路由器/防火牆問題
我認為這是一個相當高級的問題,我希望有經驗的人可以幫助我。深呼吸,我們開始:
我們是一個小型但不斷發展的網站,正在尋求添加另一台伺服器,因此我們將擁有兩台:一台 Web 應用程序伺服器和一台數據庫伺服器。
我們還希望獲得硬體防火牆。
所有標準的東西。
我們的伺服器由託管公司 (natch) 在其設施之一中託管。我們不擁有自己的盒子,而只是從擁有的公司那裡租用一個貨架。當我們得到防火牆和額外的伺服器時,我們將再租幾個架子。
我猜很直接。
現在它變得有點複雜了:我們需要直接訪問兩台伺服器(即遠端桌面訪問、SQL 伺服器訪問、FTP 訪問等)。
我們有網站的單一 IP 地址,雖然我們的連接在到達我們的伺服器之前通過路由器,但我們無權訪問它。如果我嘗試導航到我們的預設網關,我什麼也得不到。
在我們目前的配置中添加防火牆的最佳方式是什麼?我們希望能夠以便宜的價格從 eBay 上買到像 Firebox X1000 之類的東西,並接受對 www.ourdomain.com 的請求並將其轉發到伺服器 A(例如 192.168.0.10)和對 server.ourdomain.com 的請求和將其轉發到伺服器 B(例如 192.168.0.11)。
這有意義嗎?我們是不是走錯了路?這樣的企業級防火牆是否存在?(順便說一句:2,000 個並發會話大約是我們迄今為止在該站點上看到的最大值,但顯然必須增加。)
感謝您的幫助,我完全感到困惑,Watchguard 和 Juniper 的人們雖然非常樂於助人,但似乎無法讓我放心。
更新:感謝Zoredache和Jesper Mortensen以最直接和最有用的方式回答了我的問題。我現在對整個過程有了更多的了解(顯然,ah/w 防火牆沒有簡單的方法來做我想做的事——而且我原來的請求現在沒有真正意義,現在我對層有了更多的了解——doh)。
最終,我們決定使用第三台伺服器作為防火牆,而不是專用的硬體防火牆。這樣做的原因主要是因為它對我們來說會便宜很多,而且做的工作完全相同。我們已經計劃使用第三台伺服器來收集我們自己的分析,我們希望這是一項非常輕鬆的工作(它們在客戶端上觸發,然後登錄 SQL),因此我們將其移至我們配置的“前端”並將其也用作防火牆。
我們還可能會在其上配置一個 VPN,以便我們可以通過這種方式管理 Web App 伺服器和 DB 伺服器,而不是直接連接到它們。
這意味著我們不需要購買 ah/w 防火牆或租用額外的機架單元。
建議與我們的解決方案之間的唯一區別是我們將改用 Windows Server 2008,因為 a) 我對它的了解 b) 我們通過 BizSpark 包免費獲得它。
再次感謝!
PS - 有人對這個新的防火牆/VPN/(輕量級)SQL 伺服器的規格有任何提示嗎?(一個快速的處理器和大量的 RAM 對我來說似乎很有意義……但我知道什麼?:)
當然這是有道理的,並且使用基於 Linux 的防火牆很容易做到。只需使用一個具有公共地址的介面和另一個具有私有地址的介面來設置 Linux 機器。
然後設置一個反向代理,如squid。Squid 或您選擇的任何反向代理都可以根據主機標頭將 http 請求轉發到內部系統。
您可以使用 VPN 連接到 Linux 防火牆,以訪問大多數其他服務。我認為將 SQL 伺服器直接連接到 Internet 並不是一個好主意。如果您必須訪問某些服務,您還可以使用 NAT 將您選擇的某些埠轉發到內部系統上的埠。