[Internet]
|
|
|---------[ Public Server ]
|
|
[ Firewall ]
|
|
[Private LAN]
在上面的设计中,我们有一些公共服务器。我们将它们移到防火墙之外,因为它们是强度非常高的服务器,防火墙会降低性能并填充连接表。
问题:目前如果有Private LAN(10.xxx) 使用 NATing(一对多),如果它想Public Server在 DMZ 中通话。
可以在公共服务器的防火墙上做 NAT 还是我们应该配置路由?
我可以10.x.x.x在所有公共服务器中添加路由以将数据包移交给防火墙。
在这种情况下,最好的设计是什么?
首先,正如他们上面提到的,这是一个糟糕的设计。没有安全工程师会考虑在没有任何防御措施(IPS、防火墙 DMZ 或基于主机的防火墙)的情况下直接向公众公开他们的服务器......
还是从技术上回答你的问题,
无需在公共服务器的防火墙上进行 NAT,因为您可能已经拥有通往外部的默认路由以促进公共 Internet 流量,因此该公共服务器 IP 也将是可访问的(或为此公共服务器添加路由将起作用) .
很好,如果您可以在公共服务器中为完整的私有子网添加路由到外部防火墙以到达内部网络(因为将私有子网路由到 Internet 是没有意义的)。
在防火墙中免除 NAT 后,它将起作用。
顺便说一句,当您的公共服务器流量通过此防火墙时,您能否分享有关防火墙模型、内存和 CPU 利用率、接口类型、最大使用连接的更多详细信息?
你需要一个更强大的防火墙来处理流量。您真的不希望您的服务器不受保护。
如果您确实沿着绘图的路径前进,则需要从您的提供商那里获得更大的公共地址分配(祝您好运!),因为您没有用于对服务器进行 NAT 的设备。
如果您需要 NAT,无论您使用 NAT 的任何设备,最终都会遇到与您的防火墙相同的问题。你应该得到一个能够处理你的流量的防火墙。
出于安全和管理原因,将您的公共服务器放置在防火墙上路由的网段中。
如果由于性能原因您不能这样做,您应该考虑公共服务器上的基于主机的防火墙至少具有状态检查功能(iptables,firewalld 在 *NIX 的情况下)。
如果您想从没有 NAT 的客户端访问服务器,将公共服务器直接放在公共传输网络中是一个糟糕的设计选择。您必须在服务器上设置路由,才能将发往内部网络的流量路由到防火墙,否则到 ISP 网关的默认路由将匹配,ISP 将丢弃流量,因为其 RFC1918 地址空间。
如果您只有一台服务器并且不必扩展,您可以使用基于主机的防火墙和服务器选项上的路由。