Preciso colocar um servidor físico / host dentro da DMZ para hospedar servidores / aplicativos?

Navegue suas respostas
1

Estamos mudando para um novo escritório, e parte é para revisar nosso atual acesso LAN / WAN e servidor para / da Web.

Eu entendo como funciona a DMZ, mas não consigo descobrir se preciso de um servidor físico / host para ser colocado entre meus dois firewalls, ou posso fazer com sub-redes / vNic a DMZ e os servidores / servidores virtuais com vNic .

Hoje temos um único roteador e um único firewall. Quais são todos os nossos servidores, servidores de aplicativos, DC, hosts VM, etc.

Eu tenho 2 aplicativos hoje (em servidores virtuais), que são acessíveis a partir da web (furos de firewall). Os dois NÃO usam credenciais do AD e estão trabalhando com usuários de banco de dados locais (remova a necessidade de credenciais do AD).

  • Ambos são servidores virtuais em (atualmente) 1 de 3 Hosts de VM.
  • Eu quero mover esses dois aplicativos para o DMZ.
  • Isso exigirá pelo menos um IIS também.

Colocar um VM físico O servidor host que possui 2 NICs parece um pouco estranho (esse host terá tantos servidores / servidores de aplicativos que eu preciso)

  • é um ponto único de falha
  • e não se sente bem (mesmo que possa / deva funcionar)

e por outro lado, posso criar um vNic em um dos meus hosts e mapear o IP para ambos os Firewalls.

router > wan_firewall_dmz > vNic to server > dmz_firewall_lan > me dá menos sentimento de segurança do que a opção anterior, e por algum motivo, tenho a sensação de que "sinto falta" da ideia da DMZ.

Isso está correto?

O que eu sinto falta?

    
por Saariko 06.11.2012 / 20:25

2 respostas

3

Do I need to place a physical server/host within the DMZ to host servers/applications?

"Talvez" - depende do seu nível de paranóia / confiança na virtualização.

Se você estiver implementando uma nova DMZ, a maneira usual de fazer isso seria criar uma vLAN separada e colocar a sub-rede DMZ nela, criando efetivamente um comutador virtual para sua DMZ.

Se você confiar em seu software de virtualização para não estragar as vLANs, poderá criar um comutador virtual em seu VM Hypervisor, soltá-lo na DMZ vLAN e conectar os hosts que deseja isolar a esse comutador virtual.

Você pode atribuir os comutadores virtuais a NICs físicas individuais (enviando tráfego não marcado com as portas do comutador para a vLAN apropriada) ou com a maioria dos sistemas de VM você pode conectar o hipervisor a uma "porta de tronco" no seu comutador e enviar todos o tráfego da vLAN para o seu switch marcado e deixe o switch resolvê-lo.
Pontos únicos de falha seriam eliminados da maneira usual (agregação de link, failover de máquina virtual apropriado ao seu hipervisor, etc.), e sua carga geral de manutenção não deveria aumentar - configurar as vLANs é uma coisa única .

    
por 06.11.2012 / 21:12
1

Você não precisa de um host físico na sua DMZ. Você pode realizar isso com a definição de VLAN ou, de preferência, com interfaces de rede física dedicadas (pNICS) de seu ambiente virtual para sua rede DMZ.

    
por 06.11.2012 / 21:10

Tags

Túnel entre o windows através do servidor linux para o sql server, possível? Sincronizar automaticamente arquivos entre dois servidores Ubuntu no EC2