局域网上的虚拟主机 - DMZ上的虚拟机,独立的网卡 - 这是一个坏主意吗?

Modified on: Mon, 19 Aug 2019 13:40:02 +0800

只是踢了这个想法,想看看你是否会如此善良地指出我看不到的问题。

如果我将这个新的HyperV主机设置为普通的域成员,那么好处是显而易见的。我可以通过SCVMM来管理它,并且它有自己的NIC,因此理论上流量应该与虚拟机将要使用的脏,脏的DMZ网卡隔离。

显然,我想将虚拟网络设置为私有,以完全隔离主机。我相信这方面的文件 - 这是天真的吗?

我可能会过度思考问题,因为让我的局域网和我的DMZ插入同一个物理盒子的想法让我抽搐,但我没有任何具体的理由。

感谢您的想法。

作者:,Kara Marfia

最佳答案

我认为主要的风险是任何允许某人突破虚拟机并攻击主机的攻击。 VMWare之前发生过这种情况。因此,这会让您的局域网在DMZ中面临的风险高于完全隔离的机器,但我不会说它也是愚蠢的。只是取决于它真正的安全性......

另外考虑到这听起来更“复杂”,因此您可能更容易忽视某些事情。我敢打赌,由于行政错误而非攻击,更多的安全性被黑了。

还要考虑的另一件事是,如果您在可能有审计的地方/行业工作。即使这种方法确实不那么安全,也可能存在关于DMZ和LAN驻留在同一物理服务器上的一些BS审计规则。


相关问答

添加新评论