Нужны ли мне маршрутизаторы в локальной сети с решением DMZ с двумя брандмауэрами?
У меня есть локальная сеть, в которой будет размещен сайт EXTRANET с 5 серверами и 2 пограничными серверами обмена. ЛВС будет обслуживать офис в 5-ти этажном здании по 100-200 пользователей на каждом этаже. На каждом этаже будет свой набор выключателей в кладовых.
Мы ожидаем, что после первоначального развертывания количество серверов вырастет. Изучая некоторые карты сети DMZ, я заметил, что в некоторых моделях было всего два межсетевых экрана. У других было 2 брандмауэра, включая маршрутизаторы как в частной сети, так и в сети периметра.
Зачем сети нужен маршрутизатор в частной сети и внутри DMZ для общедоступных серверов? Обеспечивает ли это какое-либо преимущество в безопасности? Я предполагаю, что это было бы неким преимуществом управления в большей локальной сети. Еще одно предположение о том, почему маршрутизатор находится в DMZ, было бы, если бы на сервере была только одна сетевая карта, или если бы у вас было много серверов, которые предоставляли очень разные службы, и вы хотели бы логически разделить их для целей управления?
Локальная сеть, содержащая DMZ и маршрутизаторы
Маршрутизатор сам по себе не нужен. Один брандмауэр может обрабатывать как DMZ, так и внутренние сети. А современные межсетевые экраны также предоставляют функции маршрутизации и NAT. Отдельные маршрутизаторы необходимы только в том случае, если ваши потребности в маршрутизации превышают возможности межсетевого экрана.
И даже тогда выделенный роутер встречается нечасто. Вместо этого, вероятно, будет использоваться переключатель уровня 3.
Это похоже на вопрос домашнего задания, но я укушу.
В итоге:
LAN 5-этажное здание, около 100-200 человек на каждом этаже. На каждом этаже будет свой набор выключателей в кладовых. 5 серверов.
DMZ 2 пограничных сервера обмена
Вопрос: Зачем сети нужен маршрутизатор в частной сети?
А: Разбейте сеть на части для управления логистикой, скажем, на одну подсеть на каждом этаже.
Вопрос: По какой причине сети нужен маршрутизатор внутри DMZ для общедоступных серверов?
А: Опять же, теоретически это было бы полезно для управления логистикой, но с двумя устройствами DMZ это не принесло бы пользы.
Вопрос: Обеспечивают ли маршрутизаторы преимущества безопасности?
А: Вообще-то нет. Многие маршрутизаторы могут быть настроены с использованием основных правил брандмауэра, это доступно не на всех устройствах и даже не является хорошей идеей для большинства случаев использования. Часто, если это необходимо, выделенный брандмауэр вместо маршрутизатора является лучшим выбором.