我应该在网络分段中找到 F5 负载均衡器的什么位置?

网络工程 防火墙 负载均衡器 f5
2021-07-06 13:29:21

我分割了我的网络并在防火墙后面找到了一些重要的服务器。因此,我限制了进出重要服务器的局域网流量(局域网客户端、局域网服务器之间没有分段)。这些服务器是集群的,它们在同一个 VLAN 中。我将防火墙配置为控制流量 VLAN,而不是同一 VLAN 中的流量。现在我有一个 F5 负载平衡器,用于平衡来自 LAN 的应用程序流量。SSH 和 RDP 不会在 F5 中。我不确定我在哪里找到它。我想我有3个选择;

  1. 将其定位到 LAN。在这种情况下,所有 LAN 网段都可以访问它,因为没有分段。但 F5 到重要服务器的流量将通过防火墙进行控制。
  2. 将其定位到重要服务器的 VLAN,在防火墙后面。在这种情况下,从 LAN 访问 F5 将受到控制,但不会在 F5 和重要服务器之间进行,因为它们在同一个 VLAN 中。
  3. 在防火墙后面找到不同的 VLAN。在这种情况下,从 LAN 到 F5 和 F5 到重要服务器的流量将通过防火墙进行控制。

我想知道这种情况的最佳实践是什么?这些选择可能存在哪些风险?你的评论很重要。 我想做的事

2个回答

正如@Zac67 已经提到的,这里没有一种最佳实践。这里有几件事情需要考虑:

  • 防火墙有什么功能?它只是进行无状态检查吗?或者它是一个有状态的防火墙?如果是这样并且如果您将负载平衡器放在防火墙后面,防火墙是否能够处理足够的并发会话?
  • 防火墙在做 NAT 吗?如果是这样,如果您将负载均衡器置于防火墙之后,您可以看到来自同一 IP 地址的所有请求。这可能会在日志中出现问题(如果您想查看访问者的原始 IP 地址),并且可能会影响节点之间的流量负载平衡方式。
  • 负载均衡器上许可了哪些模块?F5 具有可用于执行防火墙的模块。因此,从安全角度来看,将防火墙放在 F5 前面可能不会带来任何好处
  • 您期望什么流量。你的描述有点不清楚。如果我处于您的位置,我会绘制一些更详细的可能拓扑图,您可以在其中绘制流量。可能是您的防火墙需要在特定位置启用某些网段之间的流量。

我认为没有最佳实践 - 这取决于您的目标和设置细节。

如果您认为负载均衡器是服务的一部分,它应该位于服务器集群的正前方。

大多数情况下,除了目标 NAT 之外,负载平衡器还使用源 NAT(用于路由连续性),因此如果客户端 IP 地址对防火墙很重要,您还需要将 LB 放在防火墙和服务器之间。使用客户端和防火墙之间的负载平衡器,后者将无法看到真实的客户端 IP 地址。

其它你可能感兴趣的问题
上一篇为什么iBGP收到的网络无效? 下一篇升级 Cisco 5548UP 交换机上的电源排序器