Я - wet-behind-the-ears неохотный системный администратор, таким образом, я играю в догонялки здесь. Я столкнулся с термином демилитаризованная зона прежде, но я никогда не изучал его до просто недавно. На самом деле я все еще не уверен точно, что вовлечено в установку; я буду продолжать свои исследования и тестовые проекты.
Но достаточно сказать мне нравится идея.
У меня есть клиент малого бизнеса, для которого я хотел бы реализовать понятие. Он выполняет WSE 2012 R2 с горсткой клиента machines/VMs.
Проблема состоит в том, что он не захочет выравнивать по ширине стоимость Сервера 2 012 лицензий R2, специально для этой единственной цели в его маленьком домене.
Таким образом, мой вопрос - это: я смогу использовать non-domain-joined экземпляр CentOS (например), работающего в VM за его демилитаризованной зоной?
Править:
С помощью комментаторов я могу лучше формулировать свой вопрос:
Я смогу вставить non-domain-joined экземпляр CentOS (например), работающего в VM в его демилитаризованную зону, не разрушая внутреннюю сеть Windows?
TL; DR
Чтобы ответить на ваш первый вопрос: Вы, безусловно, можете подключить виртуальную машину CentOS к той части вашей сети, которая рассматривается как ваша DMZ, но сам сервер не является DMZ
Чтобы ответить на ваш второй вопрос: Да, размещение виртуальной машины CentOS, не присоединенной к домену, в DMZ без нарушения внутренней сети, безусловно, возможно, если все сделано правильно.
Немного подробнее
DMZ - это отдельная область вашей сети, которая защищена от нежелательного трафика как из остальной части вашей внутренней LAN, так и из внешнего мира (Интернета). Часто это принимает форму сети периметра, то есть ваша сеть выглядит примерно так
Internet <-> DMZ <-> Internal LAN
В вашей внутренней локальной сети будут находиться ваши обычные клиенты, серверы и т. Д., И она будет заблокирована, чтобы внешний мир не мог получить доступ к сетевым устройствам на это часть сети, хотя в зависимости от вашей политики эти устройства вполне могут иметь доступ к Интернету (исходящий трафик разрешен по умолчанию, входящий заблокирован).
DMZ будет содержать серверы, к которым необходимо получить доступ из Интернета. Вы полностью блокируете демилитаризованную зону, а затем открываете только те порты, которые вам нужны для того, чтобы сервисы, которые вы открываете внешнему миру, работали (например, порт 80 и 443 TCP для стандартного веб-сервера).
In При традиционной настройке физической DMZ вы использовали бы свой маршрутизатор для настройки VLAN и поместили DMZ в отдельную VLAN во внутреннюю сеть. Затем вы должны настроить правила брандмауэра, чтобы серверы в DMZ VLAN были доступны только на определенных портах. Снова взяв пример с веб-сервером, вы можете открыть порты 80 и 443 для внешнего мира для входящих подключений, а также открыть порт 22 (ssh) для входа во внутреннюю локальную сеть только для целей управления. Часто вы также устанавливаете правила для исходящего трафика, чтобы запретить исходящий доступ к сети, за исключением определенных портов, которые вам нужны, или в ответ на разрешенный входящий сетевой трафик.
Вы имеете в виду виртуализированную среду (предположительно в Hyper-V). Конечно, можно настроить несколько VLAN и направить их на один хост Hyper-V (возможно, используя несколько физических сетевых карт на хосте). Затем вы можете использовать виртуализированные коммутаторы в Hyper-V для отделения внутренних виртуальных машин (во внутренней VLAN) от серверов в DMZ (в DMZ VLAN).
Если вы ранее встречали термин DMZ в контексте Интернет-провайдер поставляет домашние широкополосные маршрутизаторы, тогда имейте в виду, что это не совсем то же самое. Все, что обычно делают эти маршрутизаторы, - это открывать каждый порт из внешнего мира для определенного интерфейса на коммутаторе. Никаких VLAN не задействовано, все на одном физическом коммутаторе. Если вы не будете очень осторожны с добавлением дополнительной безопасности, это, как правило, большая дыра в безопасности. DMZ уровня предприятия, кратко описанные выше, являются гораздо более безопасным при правильной настройке.
Примечание. Я не специалист по сетям. Если кто-то, кто действительно понимает, о чем они говорят, прочитает это и захочет внести исправления, пожалуйста, не стесняйтесь ... :)