Opsworks Пользовательское развертывание Слоя
Если Ваши пользователи ДОЛЖНЫ пройти прокси для доступа к сети, затем просто удаляют любой физический маршрут к внешней сети от прямого подключения до LAN и используют прокси-сервер в качестве единственного интернет-шлюза LAN.
Что-либо еще оставляет потенциал для кого-то для обхождения прокси-сервера. С точки зрения Вашей схемы затем, я переместил бы прокси так его связанное между маршрутизатором R1 и брандмауэром.
Я понимаю, что это означало бы некоторую дополнительную работу, настраивающую соединение между серверами и Интернетом, таким образом, они не фильтрованы, но если, когда Вы говорите, что соединение должно быть фильтровано для пользователей, Вы действительно подразумеваете, что это действительно должно без возможных исключений или обходных решений затем, я считаю, что у Вас есть мало выбора.
Мы делаем это использование ISA Server/Forefront TMG, поскольку мы - главным образом магазин Microsoft, и это на самом деле работает действительно хорошо.
Обновите На основе своего недавнего редактирования и новой схемы
1) Куда я должен поместить "внутренние серверы" (этим, я имею в виду Службы каталогов и Обменивающиеся сообщениями серверы)?
- Они должны быть в демилитаризованной зоне, или они должны быть во внутренней сети?
Я разместил бы их во внутреннюю сеть, например, позади прокси фильтрации контента.
Это удаляет слои сложности между ними и их клиентами, и дает Вам, возможность к контенту обмена сообщениями фильтра контента должна Вы желать.
2) Если они должны быть во внутреннем N/W, как он может установить соединения от сайта к сайту (AD, например)?
Не уверенный, что Вы имеете в виду здесь? Соединения сайта, к какой? В любом случае я не вижу, что изменение здесь - для движения между физическими сайтами через (говорит), что Интернет затем, можно ли использовать VPN, которая является, как Вы, по-видимому, сделали бы это прежде?
3) Прокси-сервер помещается в корректное место?
По-моему, да - Ваше новое предложение по существу, что мы делаем (мы используем последовательную конфигурацию брандмауэра с LAN, фильтрованной Центром деятельности TMG, который делает проксирование, а также брандмауэринг), и отражает то, что я предложил в своей исходной версии этого ответа.
Кроме того, это чувствует себя хорошо Вам? Сделайте Вы думаете, что это достигает того, чего Вы надеетесь достигнуть - существует много "корректных" способов разработать сеть, но по-моему "лучший" путь меньше об использовании какой-то конкретной технологии или методологии и больше о создании установки, это подходит для бюджета, уровень обслуживания потребовал и тот, который имеет смысл людям, которые должны поддерживать его.
4) Это имеет какое-либо применение, показывающее устройства IPS выше?
Является ли, который стоит иметь их вообще, возможно совершенно другим вопросом; вытаскивание хорошего использования из IPS является возможно предметом специалиста все самостоятельно. Откладывая это на данный момент, Вы вставили их, что я думаю, разумные места.
If you're using a Custom Layer, you basically need to configure it to use Custom Cookbooks.
We're not big on link-only answers here, but as chef cookbooks tend to be massive code chunks, and I'm pretty sure the AWS documentation is gonna be reasonably stable I'm gonna leave it as-is.
The two pages I linked to contain ample example configurations about how to use custom cookbooks. You'll need a reasonable understanding of how Chef works, though.
You should be able to configure where stuff gets deployed to as part of the recipes in your custom cookbooks, just as if you were writing your own for a non-OpsWorks deployment.