DMZ在虚拟化环境中的部署

最新推荐文章于 2024-04-11 08:15:00 发布
最新推荐文章于 2024-04-11 08:15:00 发布
阅读量1.4k 收藏
点赞数
文章标签: 运维
原文链接:http://www.cnblogs.com/mxlIT/p/11121959.html
版权

常见的方法有三种:

1.分别部署

2.部分虚拟化

3.全部虚拟化

传统DMZ部署结构:

分别部署:

想要保持DMZ区域物理隔离采用这种方法,每个区域分别部署进入不同的服务器集群,区域之间的连接采用物理的安全设备。原本的物理网络不需要进行任何修改。唯一传统的部署方式的不同为,区域内使用了服务器虚拟化技术。

优点:简单,不复杂;基本不改变物理环境;运维不改动;配置错误的概率低;

缺点:资源利用率低;价格昂贵

部分虚拟化:

使用虚拟化技术对安全区域进行划分,可以根据安全等级的不同,对虚拟服务器定级不同的信任等级。仍然使用物理的安全设备对区域进行配置,此配置为划分区域的一部分, 但是所有区域内的虚拟化服务器都在同一个需虚拟化资源池中。

优点:资源利用率高;服务器全部进行的了虚拟化;成本较低;

缺点:配置比较复杂;运维职责改变;错误配置率高;

全部虚拟化:

服务器和安全设备全部进行虚拟化。被称为“DMZ in a  box”,此架构方案保证了资源的最大的利用率,最小的成本。

 

 优点:所有设备均虚拟化代替了物理设备;最低的成本;单台管理设备即可管理整个DMZ区域的设备;

缺点:架构最复杂的,配置最负责,配置错误的概率极高;要求明确的职责分离以降低错误配置的风险,并且保证周期性的审查;需正确的配置相关安全设备。

 

转载于:https://www.cnblogs.com/mxlIT/p/11121959.html

Crystal47856321
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
内网-安全域名划分
战神/calmness的博客
04-22 1451
安全域名划分 以上一个虚线框表示一个安全域【也就是网络边界,一般分为DMZ和内网】通过硬件防火墙的不同端口是实现隔离 划分安全域的目的是将一组安全等级相同的计算机划入同一网段。这个网段内的计算机拥有相同的网络边界,并在网络边界上通过部署防火墙来实现对其他安全域的网络访问控制策略【NACL】 从而对允许哪些IP地址访问此域、允许此域访问哪些IP地址和网段进行设置。这些措施,将使得网络风险最小...
什么是DMZ区?
一个懒鬼的博客
05-05 1874
该缓冲区位于企业内部网络和外部网络之间的小网络区域内。在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络。因为这种网络部署,比起一般的防火墙方案,对来自外网的攻击者来说又多了一道关卡。DMZ 是英文“Demilitarized Zone”的缩写,文名称为“隔离区”, 与军事区和信任区相对应,也称“非军事化区”,是为了解决外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。
详解DMZ部署与配置:ISA2006系列之二十九
weixin_33795833的博客
09-25 902
DMZ部署及配置 DMZ是Demilitarized Zone的缩写,俗称非军事化隔离区。DMZ是一个位于内网和外网之间的特殊区域,一般用于放置公司对外开放的服务器,例如Web服务器,Ftp服务器,邮件服务器等。其实从ISA的角度来看,DMZ就是一个网络。有些朋友可能会有些疑问,为什么不把这些服务器直接放到内网呢?为什么需要DMZ这个单独的网络呢?被发布的服务器放在内网是可以的,我们在前面的博...
详解DMZ部署与配置
最新发布
qq_62016430的博客
04-11 2011
被发布的服务器放在内网是可以的,我们在前面的博文已经讨论了技术上的可能性。因为我们知道,ISA处理数据的访问请求,首先考虑的是这个数据包的源网络和目标网络的网络规则,因此网络规则决定了两个网络之间数据通讯的方向性和可能性。4、 对于除外部网络之外的其他网络的网络适配器后还有其他子网的情况(即可以通过此网络适配器所关联的网络的某台路由器到达的其他的网络,称之为网络后面的网络), 你必须在ISA防火墙对应的网络的定义,包含这些子网的地址,否则ISA防火墙会触发IP欺骗或者配置错误的警告。
vmware搭建外网、内网、dmz环境,路由转发,端口映射
CSDN
08-19 4708
文章目录实验目的:零、配置一、实现不同网段的转发二、地址映射,端口映射 实验目的: 规则: 内网可以访问外网 内网的用户显然需要自由地访问外网。在这一策略,防火墙需要进行源地址转换。 内网可以访问DMZ 此策略是为了方便内网用户使用和管理DMZ的服务器。 外网不能访问内网 外网可以访问DMZ DMZ的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。 DMZ不能访问内网 很明显,如果违背此策略,则当入侵者攻陷DMZ时,就
VMWare NSX安全生产和DMZ用例的详细设计指南
荒野求生的博客
10-28 1145
VMWare NSX安全生产和DMZ用例的详细设计指南 https://sivasankar.org/2018/2272/vmware-nsx-detailed-design-guide-for-secured-production-and-dmz-use-case/ 十月5,2018西瓦·桑卡(Siva Sankar)0条留言设计,NSX,SDDC VMWare为S...
DMZ及其设置相关
瑞风轻拂
12-21 9928
1.什么是DMZDMZ是网络的一个区域,介于外网与内网之间的一个特殊区域,既然说他特殊,就有他的特殊性,也成隔离区,,在传统意义上,安装了防火墙后,外部网络是不能访问内部网络的,要不还要防火墙干啥,假如说外部网络想要访问内部网络,比如内部网络有台WEB主机,对外提供服务,就得解决安装防火墙之后的矛盾了,一般情况下,外部网络访问内部网络有两种方法:一,主机放在内部网络LAN,在路由器或者
虚拟化网络安全防护体系创建研究.pdf
09-20
为了保障网络的安全,虚拟化服务器通常部署DMZ(非军事区)区域。核心层交换机应具备高稳定性和冗余性,例如使用Cisco 6509,并通过Trunk线连接。重要业务应用服务器如安全心、DHCP、E-MAIL和WEB服务器等需与...
NSX ALB 助力Horizon桌面虚拟化快速交付.pdf
10-10
在现代企业环境,桌面虚拟化解决方案如Horizon变得越来越重要,因为它能提供灵活的工作环境并确保数据安全。然而,随着VDI(虚拟桌面基础设施)需求的增长,传统的负载均衡器在应对这些挑战时显得力不从心。【NSX ...
桌面虚拟化技术介绍:Microsoft Enterprise Desktop Virtualization (MED-V)
03-15
Microsoft Enterprise Desktop Virtualization (MED-V) 是微软提供的一项桌面虚拟化解决方案,旨在帮助企业在复杂的IT环境管理和部署桌面环境。MED-V 使用虚拟化技术,将旧版应用或操作系统封装在虚拟机,使得...
VMware虚拟化及云计算管理解决方案(XXXX版).pptx
09-23
这些工具确保了在虚拟化环境的数据和应用程序的保护,符合不同行业的安全标准,如DMZ、PCI合规性和HIPAA。 4. **ChargeBack**:这是一个虚拟化资产管理工具,用于跟踪资源使用情况并执行计费,帮助IT部门更好地...
大学校园服务器的部署方案.doc
06-07
大学校园服务器的部署方案 目 录 用户需要分析 服务器所处环境的建设原则 服务器局域网技术选择 服务器所在网络总体结构 网络设备选型和数量 网络设备报价 网络安全 网络管理 网络应用描述 内容摘要 1. 用户需要分析...
Web安全-企业网络架构
道阻且长,行则将至。
02-04 4949
网络架构 在大型企业网络架构,有非常多的产品:交换机、路由器、防火墙、IDS、IPS、服务器等设备。 先来看看一个典型的企业网络拓朴图(图防火墙和IPS需更换位置): 网络拓朴简析: 出口路由器由两个不同的运营商提供,提供对公网路由; 在网络出口处,还有IPS入侵防御系统,实时检测是否有异常攻击行为,并及时阻断; 边界防火墙主要是用来进行流量控制、流量过滤和进行内外网NAT转换; 防火墙、I...
平安云基本系统部署
weixin_34102807的博客
09-11 877
2019独角兽企业重金招聘Python工程师标准>>> ...
华为防火墙区域配置
qq_45049184的博客
11-03 4219
防火墙区域配置 1、trust区域内的R1的L0和L1接口能访问DMZ区域的web服务器 2、trust区域内的R1的L2和L3接口能访问DMZ区域的ftp服务器 3、位于untrust区域的全部环回口都能够访问dmz区域的web服务器和ftp服务器 4、rust区域的环回口能访问untrust区域
防火墙基本介绍及实验(GNS)(ASA的两种工作模式、DMZ隔离区)
LKmnbZ's Blog
01-17 4397
Cisco防火墙简介 硬件与软件防火墙 软件 硬件 ASA安全设备 ASA 5500系列 常见型号 5505、5510、5520、5540、5550、5580 状态化防火墙 状态化防火墙维护一个关于用户信息的连接表,称为Conn表 Conn表的关键信息 源IP地址 目的IP地址 IP协议(例如TCP或UDP ) IP协议信息(例如TCP/UDP端口号,TCP序列号...
防火墙原理及部署方式(以天融信为例)
2302_78334155的博客
08-19 4998
可以看见间丢失了一个数据包,就是在主机防火墙出错时,将数据备份给备机防火墙时丢失了一个数据包,但后续有能连接上了,说明备机防火墙发挥作用,此时时备机防火墙在发挥作用。DMZ ,一旦DMZ区域被敌人攻破,由于DMZ区域为隔离区域,不会进一步殃及破坏inside区域,所以设 置DMZ区域是为了保护inside区域。高级应用防火墙(NGFW防火墙/DPI防火墙)(目前主流防火墙)(2-5层, 2-7层)在inside区不断ping outside区,将从机防火墙连接上网络,主机防火墙断开网络。
MySQL数据库可以部署DMZ区吗
06-09
一般来说,不建议将 MySQL 数据库直接部署DMZ 区,因为 MySQL 数据库包含了大量的敏感信息,如用户密码、企业资产等。将 MySQL 数据库直接暴露在 DMZ 区域会增加数据库被攻击的风险。攻击者可以通过各种手段,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值