Демилитаризованная зона Linux в Windows Network

TL; DR

Чтобы ответить на ваш первый вопрос: Вы, безусловно, можете подключить виртуальную машину CentOS к той части вашей сети, которая рассматривается как ваша DMZ, но сам сервер не является DMZ

Чтобы ответить на ваш второй вопрос: Да, размещение виртуальной машины CentOS, не присоединенной к домену, в DMZ без нарушения внутренней сети, безусловно, возможно, если все сделано правильно.

Немного подробнее

DMZ - это отдельная область вашей сети, которая защищена от нежелательного трафика как из остальной части вашей внутренней LAN, так и из внешнего мира (Интернета). Часто это принимает форму сети периметра, то есть ваша сеть выглядит примерно так

Internet <-> DMZ <-> Internal LAN

В вашей внутренней локальной сети будут находиться ваши обычные клиенты, серверы и т. Д., И она будет заблокирована, чтобы внешний мир не мог получить доступ к сетевым устройствам на это часть сети, хотя в зависимости от вашей политики эти устройства вполне могут иметь доступ к Интернету (исходящий трафик разрешен по умолчанию, входящий заблокирован).

DMZ будет содержать серверы, к которым необходимо получить доступ из Интернета. Вы полностью блокируете демилитаризованную зону, а затем открываете только те порты, которые вам нужны для того, чтобы сервисы, которые вы открываете внешнему миру, работали (например, порт 80 и 443 TCP для стандартного веб-сервера).

In При традиционной настройке физической DMZ вы использовали бы свой маршрутизатор для настройки VLAN и поместили DMZ в отдельную VLAN во внутреннюю сеть. Затем вы должны настроить правила брандмауэра, чтобы серверы в DMZ VLAN были доступны только на определенных портах. Снова взяв пример с веб-сервером, вы можете открыть порты 80 и 443 для внешнего мира для входящих подключений, а также открыть порт 22 (ssh) для входа во внутреннюю локальную сеть только для целей управления. Часто вы также устанавливаете правила для исходящего трафика, чтобы запретить исходящий доступ к сети, за исключением определенных портов, которые вам нужны, или в ответ на разрешенный входящий сетевой трафик.

Вы имеете в виду виртуализированную среду (предположительно в Hyper-V). Конечно, можно настроить несколько VLAN и направить их на один хост Hyper-V (возможно, используя несколько физических сетевых карт на хосте). Затем вы можете использовать виртуализированные коммутаторы в Hyper-V для отделения внутренних виртуальных машин (во внутренней VLAN) от серверов в DMZ (в DMZ VLAN).

Если вы ранее встречали термин DMZ в контексте Интернет-провайдер поставляет домашние широкополосные маршрутизаторы, тогда имейте в виду, что это не совсем то же самое. Все, что обычно делают эти маршрутизаторы, - это открывать каждый порт из внешнего мира для определенного интерфейса на коммутаторе. Никаких VLAN не задействовано, все на одном физическом коммутаторе. Если вы не будете очень осторожны с добавлением дополнительной безопасности, это, как правило, большая дыра в безопасности. DMZ уровня предприятия, кратко описанные выше, являются гораздо более безопасным при правильной настройке.

Примечание. Я не специалист по сетям. Если кто-то, кто действительно понимает, о чем они говорят, прочитает это и захочет внести исправления, пожалуйста, не стесняйтесь ... :)