В моем новом рабочем пространстве я хочу настроить сеть, которая позволит мне развернуть мои работы по веб-разработке на Серверы разработки, тестирования и принятия (ВМ) с (контролируемым) доступом извне сети - на основе разных доменов (несколько веб-сайтов). Также я хочу иметь удаленный доступ к моей сети через VPN.
Проблема, однако, в том, что у нас общая внутренняя сеть, и я не смогу самостоятельно управлять маршрутизатором / брандмауэром (сеть управляется внешней стороной). Иллюстрированный и хорошо объясненный запрос - это то, что им нужно, чтобы применить новую конфигурацию.
Я плохо разбираюсь в сетевых технологиях, но исследования убедили меня в возможности настройки моей сети.Может ли кто-нибудь подтвердить / прокомментировать мои идеи относительно осуществимости / передового опыта?
По сути, моя цель:
Соответствующие вопросы:
Любые мысли были бы очень, очень полезны, чтобы я мог сформулировать запрос к стороне управления внешней сетью (через диспетчер свойств).
См. Схему расположения сети:
Нужно ли мне настраивать обратный прокси на новой виртуальной машине ESXi, чтобы иметь возможность разрешить локальные машины извне (как насчет Pound Reverse Proxy сервер на Ubuntu)?
В зависимости от вашего списка требований / целей обратные прокси-серверы не требуются. Все, что вам действительно нужно, это выделенные IP-адреса в Интернете / WAN и некоторые базовые правила NAT / MIP в настройке SSG20. Вы можете заблокировать этот доступ с помощью правил брандмауэра на SSG20, если хотите (например, какие IP-адреса клиентов могут входить и т. Д.)
Нужно ли брандмауэру Juniper SSG20 добавлять мои локальные серверы / VLAN в DMZ?
Нет, но вам нужно иметь НЕСКОЛЬКО внешних IP-адресов, доступных для прямого преобразования NAT (в Juniper это будет статический NAT, который они называют MIP / mappedIP). В этом сценарии у вас будет один внешний IP-адрес для каждой внутренней виртуальной машины (dev / test / accept), чтобы легко выполнять внешние преобразования во внутренние.
В противном случае вам понадобится PAT или то, что Juniper называет VIP на SSG и слушать на разных портах. Это означает, что если вам нужен только один внешний IP-адрес, вам нужно будет сделать что-то вроде обычного прослушивания порта на dev, а затем увеличить что-то вроде 81/444/5001/8081 для тестирования и так далее. Затем в SSG20 он сопоставит externalIP: 81 с 192.168.1.11:80, но на самом деле это PITA, а не просто получение нескольких дополнительных внешних IP-адресов от провайдера. Я хочу перенаправить порт для порта 80?
Я полагаю, вы имеете в виду внешний доступ к админскому веб-интерфейсу SSG20? Лично я все равно не должен открываться ... дыра в безопасности, особенно просто по http. Администратор / ответственная сторона должна привязать его к другому порту прослушивания через https и ограничить его диапазонами входящих IP-адресов клиентов. Но снова я возвращаюсь к Несколько внешних IP-адресов . Если у вас есть выделенные IP-адреса для ваших виртуальных машин, вы все равно можете (хотя и не рекомендуется) позволить им оставить нормальный внешний IP-адрес WAN и порт 80 открытыми на Juniper SSG20.
Нужно ли мне добавлять правило в обратный прокси перенаправляет трафик обратно к брандмауэру?
Нет, в этом нет необходимости. Все, что вам нужно, это убедиться, что виртуальные машины могут маршрутизировать к Juniper (нормальный интернет-трафик). Если они уже могут, то они готовы. Вам даже не нужно фантазировать с сетью vmware, если только вы не потребуете, чтобы каждая виртуальная машина была сегментирована и не могла отправлять друг другу трафик, но вы можете сделать это в ОС виртуальной машины так же легко.