Назад | Перейти на главную страницу

Стоит ли запускать TMG в качестве гостя Hyper-V

Хорошо, вот интересный вопрос. В двух частях:

  1. Целесообразно ли запускать TMG в качестве гостя Hyper-V в производственной среде? (меня что-то беспокоит, что это плохая идея, но можно предоставить виртуальной машине эксклюзивный доступ к сетевой карте, а технически «хост» - это просто еще один гость с особыми привилегиями).
  2. Если TMG запускается в качестве гостя Hyper-v, следует ли мне разместить хост во внутренней сети или DMZ достаточно безопасна? Меня здесь явно беспокоит то, что хост-машину можно считать слабым звеном. DMZ находится за NAT, и я не даю хост-машине внешний доступ. Я даю доступ к хосту только внутренним машинам. Этого достаточно, или я должен принести хост Internal?

Или вернемся к пункту 1, следует ли мне полностью отказаться от этой идеи и поместить TMG на отдельную физическую машину? (так что я соврал, думаю, это 3 части).

В целях разъяснения Мой дизайн следующий (все работает на физической коробке)

Машина A - хост Hyper-V не имеет доступа ни к какому хосту NICS, только к виртуальным сетям, созданным через Hyper-V. Также выполняет (в настоящее время) DMZ DC с односторонним доверием к внутреннему домену. И DNS / DHCP для внутреннего. Подключен только к виртуальной сети DMZ.

Машина B - гостевая машина TMG Конфигурация с тремя ветвями: внешний подключен к физическому сетевому адаптеру, которому назначен общедоступный IP-адрес. Внутренняя и DMZ подключены к виртуальным сетям. Действует правило брандмауэра, позволяющее машине A обрабатывать связь AD с внутренним DC / DNS. Также физический сетевой адаптер для DMZ подключен к беспроводной точке доступа.

Машины C- ?? Внутренние сетевые службы и клиенты Они подключены к внутренней виртуальной сети и получают доступ в каждом конкретном случае.

Все работает правильно, я просто хочу убедиться, что я не создаю зияющую дыру в своей сети с этой конфигурацией.

  1. Похоже, Microsoft "официально" объявила о поддержке TMG на Hyper-V - http://www.microsoft.com/forefront/threat-management-gateway/en/us/default.aspx

  2. Как заявил Татас. Поскольку TMG находится на гипервизоре, нет технических требований к открытию самого гипервизора. Назначение виртуальных сетевых адаптеров физическим под гипервизором - единственное требование для помещения TMG в работающую конфигурацию. Гиперизор может оставаться на месте в зависимости от вашего «обычного» развертывания гипервизоров в вашей среде.

Пока нет безудержных эксплойтов гипервизора, запуск TMG и подобных продуктов будет / должен быть таким же «безопасным», как и на физическом оборудовании.

С учетом вышесказанного, наличие приложений периметрального типа на физическом оборудовании может иметь некоторые операционные преимущества, когда дело доходит до адресации и / или реагирования на внеполосные ситуации (например, всплески использования сети, проблемы с гипервизором и т. Д.).

  1. Мы запускаем TMG в VMWARE, так что да, виртуализация определенно является жизнеспособным вариантом. Hyper-V ничем не отличается. Вы можете создать новую сеть виртуальных машин специально для гостя (ей) TMG. Это помогло бы изолировать nics / трафик.

  2. Наши TMG адресованы публично (мы используем их для обратного обмена прокси). Я не вижу веских причин помещать его в демилитаризованную зону, но было бы полезно знать, как именно вы планируете его использовать.