Мы переезжаем в новый офис, и его часть должна пересмотреть нашу текущую LAN / WAN и доступ к серверу в / из Интернета.
Я понимаю, как работает DMZ, но не могу понять, нужен ли мне физический сервер / хост для размещения между двумя моими межсетевыми экранами, или я могу использовать подсети / vNic в DMZ и серверах / виртуальных серверах с vNic.
Сегодня у нас один маршрутизатор и единый межсетевой экран. За этим стоят все наши серверы, серверы приложений, DC, хосты виртуальных машин и т. Д.
Сегодня у меня есть 2 приложения (на виртуальных серверах), которые доступны из Интернета (пробивает дыры в брандмауэре). Оба НЕ используют учетные данные AD и работают с локальными пользователями БД (устраните необходимость в учетных данных AD).
Размещение физического сервера VM Host с двумя сетевыми адаптерами кажется немного странным (этот хост будет содержать столько серверов / серверов приложений, сколько мне нужно)
а с другой стороны, я могу создать vNic на одном из моих хостов и сопоставить его IP-адрес с обоими Firwall.
router > wan_firewall_dmz > vNic to server > dmz_firewall_lan
> дает мне меньше ощущения безопасности, чем предыдущий вариант, и по какой-то причине у меня есть ощущение, что я "скучаю" по идее DMZ.
Это правильно?
Что мне не хватает?
Нужно ли мне размещать физический сервер / хост в DMZ для размещения серверов / приложений?
«Может быть» - это зависит от вашего уровня паранойи / доверия к виртуализации.
Если вы внедряете новую демилитаризованную зону, обычным способом решения этой проблемы было бы выделение отдельной vLAN и размещение в ней подсети демилитаризованной зоны, эффективно создавая виртуальный коммутатор для вашей DMZ.
Если вы доверяете своему программному обеспечению виртуализации, чтобы не испортить виртуальные локальные сети, вы можете создать виртуальный коммутатор на гипервизоре виртуальной машины, поместить его в виртуальную локальную сеть DMZ и подключить к этому виртуальному коммутатору узлы, которые вы хотите изолировать.
Вы можете назначить виртуальные коммутаторы отдельным физическим сетевым адаптерам (отправка немаркированного трафика с портами коммутатора, сброшенными в соответствующую vLAN), или с большинством виртуальных машин вы можете подключить гипервизор к «магистральному порту» на вашем коммутаторе и отправить весь трафик vLAN. к переключателю, помеченному тегами, и позвольте ему разобраться.
Единичные точки отказа будут устранены обычным способом (агрегация каналов, переключение виртуальных машин при отказе в соответствии с вашим гипервизором и т. Д.), А общая нагрузка на обслуживание не должна увеличиваться вообще - настройка виртуальных локальных сетей - это одноразовая вещь. .
Вам не нужен физический хост в вашей DMZ. Вы можете сделать это с помощью определения VLAN или, желательно, выделенных физических сетевых интерфейсов (pNICS) из вашей виртуальной среды в вашу сеть DMZ.