您当前的位置: 首页 > 
  • 5浏览

    0关注

    515博文

    0收益

  • 0浏览

    0点赞

    0打赏

    0留言

私信
关注
热门博文

NSX—DMZ Anywhere-ielab

ie-lab网络实验室ccie认证之家 发布时间:2019-05-15 15:10:13 ,浏览量:5

NSX—DMZ Anywhere DMZ(Demilitarized Zone,非军事区)是为了解决安装防火墙后外网不能访问内网服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。该缓冲区位于数据中心和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业 Web 服务器、FTP 服务器等。通过这样一个 DMZ 区域,更加有效地保护了内部网络。因为这种网络部署,比起一般的防火墙方案,对来自外网的攻击者来说又多了一道关卡。 在这里插入图片描述 典型的 DMZ 传统 DMZ 的缺点是不够灵活,增加新的应用涉及到配置多个网络域:DMZ、数据中心内网、防火墙等等。而这几个网络域往往又是由几个不同的团队负责管理的,这就涉及到团队之间的沟通、变更申请、审批等流程,比较费时,就更不用说自动化了。

有了 NSX 的分布式防火墙之后,配置 DMZ 就变得简单多了,下图中每个虚机都自带一个分布式防火墙,防火墙的规则定义了位于 Web-tier 网段的两台虚机处于一个逻辑上的 DMZ。 在这里插入图片描述 我们来看一下防火墙规则的设置(上图中的表格): 规则 1:Web-VM1 和 Web-VM2 相互隔离;

规则 2:允许 HTTPS 协议访问 Web-tier(即 DMZ)中的两台 Web 服务器,并且把数据包重定向到 PAN(PaloAlto Network)的专用防火墙进行检查;

规则 3:禁止所有其他的网络协议访问 DMZ 中的服务器;

规则 4:允许 Web-tier 中的服务器通过 TCP 端口 8443 访问 App-tier;

规则 5:禁止所有其他针对 App-tier 的网络协议和端口访问。 可以看到外部网络访问通过路由器只能访问 DMZ 中的两台 Web 服务器虚机,而不能访问 App-tier 上的两台应用服务器,因为它们处于分布式防火墙的保护之下。

通过 NSX 的分布式防火墙,DMZ 隔离区的配置就变得非常灵活。管理员可以灵活地根据业务需要配置 DMZ 隔离区,DMZ 隔离区也不再需要部署在数据中心防火墙之外,而是可以在数据中心的任何一台安装了 NSX 的服务器上,这就是 NSX 给我们带来的网络安全一大便利:DMZ Anywhere。

关注
打赏
1663034639
查看更多评论
立即登录/注册

微信扫码登录

0.0930s