У нас есть веб-сервер (ВМ), на котором размещено несколько сайтов.
Одно из приложений имеет частично интрасеть, а частично - общедоступную.
(архивирование / docflow = интранет, счета клиентов = общедоступные)
Этот веб-сервер в настоящее время размещен с IP (примеры IP): 11.11.0.80/20 в нашей локальной сети.
Наш шлюз указывает на маршрутизатор MPLS (11.11.0.33/20), оттуда уходит наш интернет-трафик
в место, где у нас есть центральный доступ в Интернет.
Позвольте мне объяснить ситуацию с колокацией. Мы заходим через устройство cisco (поставщик MPLS), от которого один кабель подключается к коммутатору HP Procurve, чтобы получить доступ к различным VLANS, которые поступают из MPLS (MPLS, Интернет, DMZ). Порты, настроенные для каждой VLAN, затем подключаются к Juniper SRX240 для создания зон доверия / ненадежности / dmz и выполнения NAT. IP-адрес сети DMZ 11.172.1.0/24 и настроен на порту Juniper SRX240, откуда идет кабель от коммутатора.
Теперь моя проблема в том, как мне предоставить эксклюзивный доступ к одной части размещенных сайтов в моей сети (11.11.0.0/20, 80 443, 21), а другая часть может иметь доступ снаружи. (443, 21)?
Моя первая мысль заключалась в том, чтобы добавить вторую сетевую карту к виртуальной машине веб-сервера, правильно настроить NAT / брандмауэр на моем устройстве SRX и настроить брандмауэр для каждой сетевой карты на веб-сервере? Хотя это фактически создает возможное нарушение в DMZ.
Я не эксперт в этих вещах, но у меня есть базовые знания, и мне нужен совет экспертов.
Спросите, если что-то не понятно. Спасибо за уделенное время!
Стэнни
Я предлагаю вам использовать функцию ограничения IP-адресов в IIS. Вам необходимо установить его как ролевую службу для роли веб-сервера. Это называется «Ограничения IP и домена».
После его установки на веб-сайте у вас есть опция «Ограничения IPv4-адресов и доменов». Вы можете разрешить или запретить доступ из сетей оттуда.
Посмотри Вот для пошагового руководства.