Dan*_*ton 8 windows-server-2008 firewall hyper-v pfsense
我们目前正在考虑在基于 Hyper-V R2 的服务器上安装 pfSense 实例,以充当内容过滤器、强制门户和通用防火墙。
虽然虚拟化防火墙/网关通常是不好的做法......有时你必须使用你所拥有的!:)
我们有 2 个物理 NIC。1 个面向互联网 (WAN),1 个面向我们的内部 LAN。
如何确保所有互联网访问都通过 pfSense VM?
是否有一种配置可以消除绕过 pfSense VM 进入 LAN NIC 的流量的任何可能性?
对不起,如果这是一个愚蠢的问题,我白天是一名开发人员:D
Chr*_*s S 13
韦斯利说的……加上一张图:
+----------------------------------+
| +----------+ +---------+ | +----+ +----+ +----+
| | pfSense | | Host OS | | | | | | | |
| | | | | | | PC | | PC | | PC |
| +----------+ +---------+ | | | | | | |
| ^ ^ ^ | +----+ +----+ +----+
| | +------+ | | ^ ^ ^
| | | | | | | |
| V V V | V V V
+--------+ +---+ +-------+ +-------+ +---+ +-----------------+
|Internet|<-->|WAN|<->|WAN NET| |LAN NET|<->|LAN|<----+| LAN SWITCH |
+--------+ +---+ +-------+ +-------+ +---+ +-----------------+
| Hyper-V Host |
+----------------------------------+
实际上可以在 Hyper-V 主机上为 WAN 和 LAN 使用相同的 NIC,但是您需要设置 vLAN 并需要一个支持它们的交换机。它很快就会变得混乱,而且 NIC 相当便宜。关于 NIC 芯片的说明,获得一个好的,例如 Intel、Broadcom 等。远离 Realtek、Marvel 和大多数便宜和 DIY 主板上的板载芯片。对于虚拟化环境来说,它们只不过是麻烦。
另外,请记住,Hyper-V 是一种裸机管理程序。它不是在 Windows 中运行的服务。以前在机器上安装的 Windows 变成了一个特殊的 VM。出于简单性和可用性的原因,这似乎不是这种情况,但是当您执行诸如设置 Hyper-V 网络之类的操作时就会发挥作用。
Wes*_*ley 10
只需将所有 PC、交换机、路由器和其他网络基础设施设置为使用 pfsense 虚拟机作为其默认网关,所有流量都会通过内容过滤器。
当然,有人可以将网络电缆从服务器中拔出,然后将他们的 PC 直接插入您的 WAN。您可以设置某种 MAC 过滤或 802.1x 身份验证来制定端口级安全性。当然,有人也可以绕过它。关键是:有时您只是依赖“我有服务器机房的密码和钥匙,而您没有。”
只需将您的网关设置为默认网关/路由器,并且在网络上没有任何其他路由选项,就可以阻止所有出口,除了有人冲进您的服务器机柜并用电缆摩擦。
| 归档时间: |
|
| 查看次数: |
5858 次 |
| 最近记录: |