Blade Enclosure, Multiple Blade Servers, Qual é a aproximação mais aproximada de uma DMZ?

Navegue suas respostas
1

Agradeço que, para obter uma DMZ adequada, é necessário ter um separação física entre os servidores DMZ e os servidores LAN, com um servidor de firewall entre eles.

Mas, em uma rede que consiste em um único Blade Enclosure contendo dois ou mais servidores Blade que executam vários servidores virtuais, qual é a aproximação mais próxima de uma DMZ que poderia ser projetada?

Mais detalhes: Servidores virtuais, principalmente Windows, em execução em um ambiente VMWare nos servidores Blade e caixa de firewall físico entre o compartimento Blade e a Internet.

    
por codeulike 27.05.2010 / 15:29

3 respostas

1

Configure os switches para executar o tráfego de rede "DMZ" em uma vLan e tenha muito cuidado onde esse tráfego da vLan é permitido.

Um dos meus sites tem 1 switch, o tráfego da Internet é conectado diretamente na porta do switch 24 (com um adesivo grande explicando qual porta 24 está presa ao switch). O switch está configurado para que a porta 24 seja vLan 20 (não marcada); porta 1 get's vLan 20 (marcado), é o roteador principal; e nenhuma outra porta obtém o tráfego do vLan. O roteador tem apenas uma conexão de rede. Isso é ideal, provavelmente não, mas não há nada de errado ou inseguro com a maneira como ele é configurado.

    
por 27.05.2010 / 15:37
1

O seu firewall pode manipular mais do que uma rede "interna" e uma "externa"? Se ele puder manipular três redes, você deverá defini-las como "LAN", "DMZ" e "Internet" e, em seguida, conectar essas interfaces a diferentes comutadores (ou diferentes VLANs em um comutador gerenciado).

Se o seu firewall não conseguir lidar com a DMZ, você precisará configurar sua rede de uma maneira diferente (e adicionar outro firewall); De qualquer forma, você terminará com dois segmentos de rede separados logicamente, a LAN e a DMZ, que podem se comunicar apenas por meio de um firewall.

Em seguida, você deve escolher se deseja separar suas VMs apenas no nível da rede ou se realmente deseja que as VMs DMZ sejam executadas em hosts diferentes das VMs de LAN.

No primeiro caso, cada host ESX deve ter pelo menos três interfaces de rede: uma para o console de serviço (conectado à sua LAN), uma para conectar VMs à LAN e outra para conectar as VMs à DMZ; se você quiser o VMotion, adicione outra interface para isso também.

No segundo caso, cada host precisa de pelo menos duas intefaces: uma para o console de serviço (sempre conectado à LAN, você não quer essa na DMZ) e outra para o tráfego da VM . Novamente, se você precisar do VMotion, precisará de outra interface.

    
por 27.05.2010 / 15:38
0

Eu conheço melhor os blades Classe C da HP e não teria problema em ter várias zonas no mesmo gabinete com as seguintes caviats;

  • NICs de zonas diferentes não acessam os mesmos switches / interconexões
  • O console virtual do iLO e a mídia virtual estão desativados, pois só são ativados temporariamente quando necessário
    • Lâminas
  • são de alguma forma codificadas por cores (usamos pequenas etiquetas adesivas de plástico)
    • A equipe de funcionários da
  • é treinada e monitorada

Além disso, estou feliz, mas muito especificamente, não confio apenas em segurança baseada em limites de VLAN - sei que até mesmo hardware / IOS recente da Cisco pode ser "saltado de VLAN" - daí minha insistência em diferentes interruptores.

    
por 27.05.2010 / 18:37

Tags

arquivo PEM para o IIS 7 MySQLdb no Windows