本文介绍如何在VMware Infrastructure中使用IPCOP搭建虚拟DMZ和代理服务,以提高网络安全性及性能。通过虚拟化技术,可在维护期间灵活迁移所有DMZ组件,包括防火墙本身,确保服务不间断。
设置虚拟代理服务器
在安全领域,虚拟基础架构也可以为企业创造价值。例如,规模较小的公司往往认为无需投资购置专用的代理服务器。而通过代理服务器,可以实现显著的性能提升,带宽占用率通常可以降低 25%
乃至更多,并且用户可以更快地浏览经常使用的网站。此外,代理服务器还可以阻止不受欢迎的网站并对 Internet
站点的使用情况进行追踪。
企业可以在虚拟机内部署一个开源产品,例如 IPCOP
,从而获得一个快速、一体化,并且可以立刻收到成效的解决方案。IPCOP
以及其他类似的虚拟系统套装可以提供多个版本的 Squid Proxy
,Squid Proxy
是成熟的高性能代理服务器代码,并且可以在一体化的框架内流畅运行。很多开源平台都可以随时转化为虚拟系统套装,利用虚拟系统套装可以在不添加独立设备的前提下,实现新的基础架构服务,而 IPCOP
仅仅是这样的实例之一。
承载虚拟 DMZ
IPCOP
还可用于在 VMware Infrastructure
中承载整个 DMZ
。如果您计划在您的公司站点设置 Web
服务器、电子邮件服务器或其他接受 Internet
上计算机访问的服务器,那么您就应该创建一个 DMZ
。DMZ
(Demilitarized Zone
,非军事化区)借用军事术语形象地说明了自身在网络中的作用。利用 DMZ
可以在与外部世界相连的网络服务器周围形成防火墙保护层。在部署 DMZ
的时候,我们会假设网络服务器可能会遭受潜在***。DMZ
防火墙只允许 DMZ
中的网络服务器与其他更加敏感的服务器进行预定义的网络通信,从而防止这些服务器被用作进入易受***的 LAN
环境的跳板。
IPCOP
可以通过
IPCOP.org
或
VMware
虚拟虚拟系统套装库
[1]
获得。
最近,新泽西一家正在发展壮大的公司使用 IPCOP
承载一个具有 10
多台服务器的繁忙 DMZ
,并为一个超过 300
人的用户群提供代理服务。IPCOP
可以在多种 Linux
操作系统上运行,并且只占用 256MB
内存和 2GB
磁盘空间。代理和 DMZ
工作负载很少会让 IPCOP
防火墙的资源占用率超出单个虚拟 CPU
的 15%
。IPCOP
具有红色、绿色和橙色的网卡。红色的网卡表示连接到 Internet
,绿色的网卡会获得一个 LAN
中的地址,而橙色的网卡则用于 DMZ
地址空间,橙色网卡的地址通常为 10.x.x.x
(请见下图 1
)。
设置 DMZ 虚拟交换机
要将 IPCOP
设置为 DMZ
防火墙,请在一个或多个 ESX Server
主机上创建两个虚拟交换机,分别命名为 DMZ-EXT
和 DMZ-INT
。将 IPCOP
的红色网卡连接到 DMZ-EXT
,将橙色网卡连接到 DMZ-INT
。将绿色网卡连接到任何一个与 LAN
地址空间相关联的虚拟交换机。DMZ-INT
将作为服务于 DMZ
虚拟机的交换机。DMZ-EXT
将被用来发送数据包到 WAN
路由器或外围防火墙。内部服务器将通过绿色网卡与虚拟 DMZ
中的服务器进行通信,因而要在 LAN
路由器上添加一条路由以便发送数据到 DMZ
。这条路由将指向 DMZ
防火墙绿色网卡的网关地址,以便到达 DMZ
子网。如果您已经拥有基于硬件的外围防火墙,请为红色网卡指定一个传输网络,专门用来在 DMZ-EXT
虚拟交换机与 WAN
路由器或外围防火墙的专用端口之间发送数据包。将每台 ESX Server
主机上与 DMZ-EXT
关联的物理网卡连接到一个公用的物理交换机或 VLAN
区段,从而在逻辑上将 DMZ
通信与其他网络区段隔离开来。
尽管在只安装了一台 ESX Server
主机的情况下,DMZ-INT
虚拟交换机可以配置为一个孤立的交换机,但是,在虚拟平台具有多个 ESX Server
主机的情况下,最好将该虚拟交换机与每个 ESX Server
上的一个物理网卡相关联。VMotion
要求将服务器连接到与物理网卡相关联的虚拟交换机。具有多个网卡的虚拟机(例如 IPCOP
)的 VMotion
要求将所有的网卡都与关联到物理网卡的虚拟交换机进行连接。如果配置得当,可以利用 VMotion
将所有相关的虚拟机乃至 DMZ
防火墙本身迁移到其他的 ESX Server
主机,而在此过程中 DMZ
安全性和代理服务都不会受到影响。如果只安装两台 ESX Server
主机服务于 DMZ
,便可以直接用交叉线,连接两台 ESX Server
上与 DMZ-INT
交换机相关联的物理网卡。一个专用的袖珍型交换机或 VLAN
可以连接两台以上的 ESX Server
主机,这样 DMZ
中的元素便可以在一组 ESX Server
主机之间按需进行迁移。
集成虚拟 DMZ 与上游防火墙和路由器
在外围防火墙上创建一个或多个映射的 IP
地址,并将它们映射到分配给 IPCOP
红色网卡的 IP
地址。当 WAN
路由器处在一个或多个外围防火墙之后时,应让数据包从映射的 IP
地址发送到 WAN
路由器,并在 WAN
路由器中设定静态路由,从而通过 IPCOP
的红色网卡将数据包发送到 DMZ
。一个比较好的操作方式是,在 WAN
路由器端口和每台与 DMZ-EXT
相关联的ESX Server
物理网卡之间设置专用的交换机或 VLAN
用于数据传输。
虚拟 DMZ 的优势
创建虚拟 DMZ
带来的益处之一是,在维护过程中可以非常灵活地将所有 DMZ
组件,包括 DMZ
防火墙本身,移至其他的 ESX Server
主机。我们假设以 IPCOP
作为 DMZ
的防火墙,并且 DMZ
中有 10
台虚拟网络服务器。如下面图 1
所示,该示例中所有与 DMZ
相关的虚拟机,包括防火墙和 DMZ
成员服务器,都在一个名为 ESX01
的八路服务器上运行。为了在 ESX01
上进行 BIOS
升级而不影响服务,可以使用 VMotion
来将这些业务关键服务器移至其他 ESX Server
主机。同一网络中的主机 ESX02
和 ESX03
都是四路 ESX Server
主机,且每个主机仅可容纳大约六七个额外的虚拟机。通过虚拟 DMZ
(如图 1
所示),IPCOP
防火墙和 DMZ
中的网络服务器可以移至 ESX02
,其余的五个 DMZ
网络服务器则可以移至 ESX03
。这样的虚拟机重组对于 Internet
上的用户来说是完全察觉不到的,它只需要几分钟时间,并且重组之后的安全级别与整个 DMZ
完全在 ESX01
上运行时相比,毫无二致。Internet
和 DMZ
成员服务器之间的两个火墙,会防止恶意利用防护墙平台已知弱点的***企图。
美国东北部一家处于发展阶段的抵押公司,已经非常成功地部署了这一类型的虚拟 DMZ
。其灵活性让 DMZ
服务器实现了近两年的无故障运行。然而,对于物理 DMZ
来说,要实现相同的效果是十分困难的,并且需要付出更高的成本,因为在物理环境中,某些组件一旦离线,就必定会造成服务中断。此外,代理加速和 Internet
追踪功能帮助这家公司控制了带宽消耗,并且没有为专用物理服务器进行额外的支出。使用虚拟基础架构承载基础架构服务,将会以低廉的成本实现更高水平的灵活性和精细配置。
结论
本文重点讨论了在 VMware Infrastructure
上部署和管理基础架构服务所需的全新思维方式。文中还提供了在一个或多个具有较轻负载的虚拟 CPU
上创建和分配工作负载的方法,以及有关组合虚拟 SMP
与单虚拟 CPU
工作负载的建议。应尽量保持较轻的工作负载,在多个适当规模的 ESX Server
主机之间对工作负载进行分配,并根据需要利用 DRS
平衡 ESX Server
主机之间的工作负载。应该对 ESX Server
主机之间的虚拟机冗余进行规划,并利用 VMware HA
确保服务的持续可用性。通过在 ESX Server
平台上承载基础架构服务,实现了更高水平的灵活性,更少的停机时间,以及对 IT
资源的统一管理。在通用的虚拟平台上承载基础架构服务和其他类型的服务器,实现了 IT
环境更低的复杂性和更高的可管理性,进而实现了整体上更佳的战略效益和经济效益。
[1]
链接至
[url]http://www.vmwarez.com/2006/01/ipcop-virtual-machine-new-esx-version.html[/url]
下载相关内容或访问至
VMware
网站
[url]http://www.vmware.com/vmtn/appliances/directory/9[/url]
阅读该文的其他部分:
阅读该文的其他部分:
扫一扫
5684
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
