提供对多个内部服务的外部 Web 访问的拓扑/策略是什么?

网络工程 纳特
2021-07-22 08:06:48

我对从 Internet 访问内部 LAN 服务的需求不断增长。直到最近,通过网络提供的唯一服务是访问电子邮件(Exchange-OWA)。现在我们有一个供应商提供的 Web 应用程序,可以访问我们的主要记录系统。我在边缘使用 Sonicwall NSA 2400,WAN 接口上有一个公共 IP 地址。主要 LAN 接口连接到我们的交换机核心。辅助 LAN 接口连接到一个简单的 24 端口交换机并充当 DMZ,尽管它直到现在还没有被使用(很多)。我所有的服务器都是虚拟化的(VMware ESXi),并且可以连接到主 LAN 或 DMZ。NAT 策略允许在 sonicwall 中访问 OWA,该策略允许端口 443 流量在内部重定向到我们的邮件服务器。

使用新的 web 应用程序,我尝试设置一个新的 NAT 策略,该策略使用非标准端口号将 https 流量传送到新服务器,而不是将默认的 443 流量转发到邮件服务器。供应商相应地配置了服务器。我们发现(显然是现在)必须使用带有非标准端口号的长 url 来避免与邮件服务器的转发冲突。所以我们开始思考如何做重定向。好吧,这就是让我想到什么是允许对我们的公共 ip 的不同传入请求安全可靠地路由到正确的内部服务器/服务的最佳整体策略的问题。我是否应该继续仅依赖防火墙 nat 和端口转发?是否有更好的计划来构建某种门户?我们确实预计会有更多的服务器/服务需要使用 Web 浏览器和其他应用程序从 Internet 访问。有什么好主意吗?

3个回答

可能有几种解决方案适合您:

  1. 从您的 ISP 购买更多公共 IP。这样,您可以将每个公共 IP 专用于您的每个服务提供 Web 访问。

  2. 将所有 443 流量转发到代理。我的工作地点使用 nginx,所以我建议这样做。在代理上卸载 SSL 证书,读取标头的内容以确定服务并将该流量转发到相应的服务器。F5 LTM 模块也非常适合这项工作。但它有点贵。

你有三个路由器接口吗?(或者您可以扩展并添加第三个吗?)

然后你就可以在你的路由器外面拥有这个微型 LAN。(例如,公共邮件服务器通过 NAT 进入真实服务器。

在第三个界面添加一个新的公众号网络。防火墙只是您需要 80/443 的端口,因此公众可以直接进入第三个 LAN。

然后您可以添加规则以允许第三个 LAN(实际上是一个 DMZ)中的 Web 系统通过路由器跨越到您真正的内部 LAN。

这样你就可以随时更改 f/w 规则,以允许任何你想要的第三个 LAN(新的 DMZ)。无需暴露真正的内部 LAN 上的内容。

这个答案很可能不适用于您的情况,但我觉得无论如何我都必须说:

您可以实施 IPv6 并获得足够多的地址,这样每个服务都可以在您希望它们运行的​​端口上以自己的地址运行。

当然,这要求每个访问者都拥有有效的 IPv6 连接,因此此时它可能不是一个真正的选择,但它无疑是解决 NAT 问题的最佳方法之一。

其它你可能感兴趣的问题
上一篇电线中的全双工冲突 下一篇如何评估 WAP (Cisco 1142) 上的实际连接限制?