Windows-Server-2008-R2

我是否需要具有 2 個防火牆 DMZ 解決方案的 LAN 中的路由器?

  • October 5, 2018

我有一個 LAN,它將託管一個帶有 5 個伺服器和 2 個交換邊緣伺服器的 EXTRANET 站點。LAN 將為一棟 5 層樓的辦公室提供服務,每層樓約有 100-200 名使用者。每個樓層在供應櫃中都有自己的一組開關。

在初始部署之後,我們預計伺服器的數量會增長。在檢查一些 DMZ 網路地圖時,我注意到一些模型只有兩個防火牆。其他人有 2 個防火牆解決方案,包括專用網路和外圍網路中的路由器。

網路為什麼要在專用網路和 DMZ 內為面向公眾的伺服器安裝路由器?它是否提供任何安全優勢?我認為這將在更大的 LAN 上具有某種管理優勢。我對路由器為什麼會在 DMZ 中的另一個假設是,如果伺服器只有一個 NIC,或者如果您有許多提供非常不同服務的伺服器,並且您希望出於管理目的在邏輯上劃分它們?

包含 DMZ 和路由器的區域網路

包含 DMZ 和路由器的區域網路

與外部和內部 DMZ 網路建立網路。 本地客戶如何上網?

這感覺像是一個家庭作業問題,但我會咬一口。

總之:

LAN 5 層建築,每層約有 100-200 名使用者。每個樓層在供應櫃中都有自己的一組開關。5台伺服器。

DMZ 2 交換邊緣伺服器

**問:**網路為什麼需要專用網路中的路由器?

**A:**拆分網路進行後勤管理,比如每層劃分一個子網。

**問:**網路為什麼要在 DMZ 內為面向公眾的伺服器安裝路由器?

**答:**同樣,理論上它對後勤管理很有用,但只有兩個 DMZ 設備它不會提供任何好處。

**問:**路由器是否提供任何安全優勢?

**A:**一般來說,不會。許多路由器可以配置基本的防火牆規則,這並非在所有設備上都可用,甚至對於大多數案例來說都是一個好主意。通常,如果需要,專用防火牆而不是路由器是更好的選擇。

引用自:https://serverfault.com/questions/934043