due*_*nni 3 networking security firewall vmware-esxi
我们有一个 ESXi 主机运行,总共有 5 个网卡。到目前为止,它只为我们的内部网络托管 VM。我们还有一个防火墙,以便网络上的用户可以浏览互联网(代理)。防火墙是一个 UTM 设备,也有一个 DMZ 端口。现在我想我们也可以在一个虚拟机上放置一个网络服务器(或类似的),并让它在互联网上访问。该虚拟服务器将在 ESXi 上获得一个专用网卡,该网卡连接到防火墙的 DMZ 端口。这是一个好主意还是针对这种情况有任何(与安全相关的)注意事项?由于它是一个单独的 NIC,它将在 vCenter 上获得自己的 vSwitch,并且没有与内部网络的物理连接。但是 vCenter 管理整个主机并可以访问所有 NIC 等,所以我不确定这是否是最佳解决方案。
当然,这不是最佳解决方案 - 理想情况下,您将为 DMZ 来宾提供单独的 VM 主机。但是,如果您确实选择这样做,则应考虑以下几点:
显而易见的第一个:有人可以使用漏洞利用来逃脱 VM 监狱,从而从 DMZ 破坏您的 LAN 主机。所以你真的应该跟上 DMZ 来宾和主机上的补丁,然后希望最好。
配置错误会导致严重后果。例如,想想您或其他人将 DMZ 和 LAN 上的 NIC 分配给某个主机的可能性。现在您的 DMZ 和您的 LAN 是一回事。当然,您可以通过执行程序并保持能力来防止这种情况发生,但是您会看到如何说您最终会遇到一个更脆弱的环境。
也就是说,它仍然比根本没有 DMZ 好,因此如果您现在不能使用单独的主机,它可能是一个很好的权宜之计。请记住,它不如将 DMZ 来宾放在单独的主机和真实网络上那么安全。
| 归档时间: |
|
| 查看次数: |
5006 次 |
| 最近记录: |