Хорошо, вот интересный вопрос. В двух частях:
Или вернемся к пункту 1, следует ли мне полностью отказаться от этой идеи и поместить TMG на отдельную физическую машину? (так что я соврал, думаю, это 3 части).
В целях разъяснения Мой дизайн следующий (все работает на физической коробке)
Машина A - хост Hyper-V не имеет доступа ни к какому хосту NICS, только к виртуальным сетям, созданным через Hyper-V. Также выполняет (в настоящее время) DMZ DC с односторонним доверием к внутреннему домену. И DNS / DHCP для внутреннего. Подключен только к виртуальной сети DMZ.
Машина B - гостевая машина TMG Конфигурация с тремя ветвями: внешний подключен к физическому сетевому адаптеру, которому назначен общедоступный IP-адрес. Внутренняя и DMZ подключены к виртуальным сетям. Действует правило брандмауэра, позволяющее машине A обрабатывать связь AD с внутренним DC / DNS. Также физический сетевой адаптер для DMZ подключен к беспроводной точке доступа.
Машины C- ?? Внутренние сетевые службы и клиенты Они подключены к внутренней виртуальной сети и получают доступ в каждом конкретном случае.
Все работает правильно, я просто хочу убедиться, что я не создаю зияющую дыру в своей сети с этой конфигурацией.
Похоже, Microsoft "официально" объявила о поддержке TMG на Hyper-V - http://www.microsoft.com/forefront/threat-management-gateway/en/us/default.aspx
Как заявил Татас. Поскольку TMG находится на гипервизоре, нет технических требований к открытию самого гипервизора. Назначение виртуальных сетевых адаптеров физическим под гипервизором - единственное требование для помещения TMG в работающую конфигурацию. Гиперизор может оставаться на месте в зависимости от вашего «обычного» развертывания гипервизоров в вашей среде.
Пока нет безудержных эксплойтов гипервизора, запуск TMG и подобных продуктов будет / должен быть таким же «безопасным», как и на физическом оборудовании.
С учетом вышесказанного, наличие приложений периметрального типа на физическом оборудовании может иметь некоторые операционные преимущества, когда дело доходит до адресации и / или реагирования на внеполосные ситуации (например, всплески использования сети, проблемы с гипервизором и т. Д.).
Мы запускаем TMG в VMWARE, так что да, виртуализация определенно является жизнеспособным вариантом. Hyper-V ничем не отличается. Вы можете создать новую сеть виртуальных машин специально для гостя (ей) TMG. Это помогло бы изолировать nics / трафик.
Наши TMG адресованы публично (мы используем их для обратного обмена прокси). Я не вижу веских причин помещать его в демилитаризованную зону, но было бы полезно знать, как именно вы планируете его использовать.