科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道用ESX进行虚拟化的技巧连载五:代理/防火墙服务虚拟化

用ESX进行虚拟化的技巧连载五:代理/防火墙服务虚拟化

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

在安全领域,虚拟基础架构也可以为企业创造价值。

作者:51CTO技术博客 来源:51CTO技术博客 2008年4月9日

关键字: 路由交换 VLAN

  • 评论
  • 分享微博
  • 分享邮件

设置虚拟代理服务器

在安全领域,虚拟基础架构也可以为企业创造价值。例如,规模较小的公司往往认为无需投资购置专用的代理服务器。而通过代理服务器,可以实现显著的性能提升,带宽占用率通常可以降低 25% 乃至更多,并且用户可以更快地浏览经常使用的网站。此外,代理服务器还可以阻止不受欢迎的网站并对 Internet 站点的使用情况进行追踪。

企业可以在虚拟机内部署一个开源产品,例如 IPCOP,从而获得一个快速、一体化,并且可以立刻收到成效的解决方案。IPCOP 以及其他类似的虚拟系统套装可以提供多个版本的 Squid ProxySquid Proxy 是成熟的高性能代理服务器代码,并且可以在一体化的框架内流畅运行。很多开源平台都可以随时转化为虚拟系统套装,利用虚拟系统套装可以在不添加独立设备的前提下,实现新的基础架构服务,而 IPCOP 仅仅是这样的实例之一。

承载虚拟 DMZ

IPCOP 还可用于在 VMware Infrastructure 中承载整个 DMZ。如果您计划在您的公司站点设置 Web 服务器、电子邮件服务器或其他接受 Internet 上计算机访问的服务器,那么您就应该创建一个 DMZDMZDemilitarized Zone,非军事化区)借用军事术语形象地说明了自身在网络中的作用。利用 DMZ 可以在与外部世界相连的网络服务器周围形成防火墙保护层。在部署 DMZ 的时候,我们会假设网络服务器可能会遭受潜在攻击。DMZ 防火墙只允许 DMZ 中的网络服务器与其他更加敏感的服务器进行预定义的网络通信,从而防止这些服务器被用作进入易受攻击的 LAN 环境的跳板。

IPCOP 可以通过 IPCOP.org VMware 虚拟虚拟系统套装库<!--[if !supportFootnotes]-->[1]<!--[endif]-->获得。最近,新泽西一家正在发展壮大的公司使用 IPCOP 承载一个具有 10 多台服务器的繁忙 DMZ,并为一个超过 300 人的用户群提供代理服务。IPCOP 可以在多种 Linux 操作系统上运行,并且只占用 256MB 内存和 2GB 磁盘空间。代理和 DMZ 工作负载很少会让 IPCOP 防火墙的资源占用率超出单个虚拟 CPU 15%IPCOP 具有红色、绿色和橙色的网卡。红色的网卡表示连接到 Internet,绿色的网卡会获得一个 LAN 中的地址,而橙色的网卡则用于 DMZ 地址空间,橙色网卡的地址通常为 10.x.x.x。

设置 DMZ 虚拟交换机

要将 IPCOP 设置为 DMZ 防火墙,请在一个或多个 ESX Server 主机上创建两个虚拟交换机,分别命名为 DMZ-EXT DMZ-INT。将 IPCOP 的红色网卡连接到 DMZ-EXT,将橙色网卡连接到 DMZ-INT。将绿色网卡连接到任何一个与 LAN 地址空间相关联的虚拟交换机。DMZ-INT 将作为服务于 DMZ 虚拟机的交换机。DMZ-EXT 将被用来发送数据包到 WAN 路由器或外围防火墙。内部服务器将通过绿色网卡与虚拟 DMZ 中的服务器进行通信,因而要在 LAN 路由器上添加一条路由以便发送数据到 DMZ。这条路由将指向 DMZ 防火墙绿色网卡的网关地址,以便到达 DMZ 子网。如果您已经拥有基于硬件的外围防火墙,请为红色网卡指定一个传输网络,专门用来在 DMZ-EXT 虚拟交换机与 WAN 路由器或外围防火墙的专用端口之间发送数据包。将每台 ESX Server 主机上与 DMZ-EXT 关联的物理网卡连接到一个公用的物理交换机或 VLAN区段,从而在逻辑上将 DMZ 通信与其他网络区段隔离开来。

尽管在只安装了一台 ESX Server 主机的情况下,DMZ-INT 虚拟交换机可以配置为一个孤立的交换机,但是,在虚拟平台具有多个 ESX Server 主机的情况下,最好将该虚拟交换机与每个 ESX Server 上的一个物理网卡相关联。VMotion 要求将服务器连接到与物理网卡相关联的虚拟交换机。具有多个网卡的虚拟机(例如 IPCOP)的 VMotion 要求将所有的网卡都与关联到物理网卡的虚拟交换机进行连接。如果配置得当,可以利用 VMotion 将所有相关的虚拟机乃至 DMZ 防火墙本身迁移到其他的 ESX Server 主机,而在此过程中 DMZ 安全性和代理服务都不会受到影响。如果只安装两台 ESX Server 主机服务于 DMZ,便可以直接用交叉线,连接两台 ESX Server 上与 DMZ-INT 交换机相关联的物理网卡。一个专用的袖珍型交换机或 VLAN 可以连接两台以上的 ESX Server 主机,这样 DMZ 中的元素便可以在一组 ESX Server 主机之间按需进行迁移。

集成虚拟 DMZ 与上游防火墙和路由器

在外围防火墙上创建一个或多个映射的 IP 地址,并将它们映射到分配给 IPCOP 红色网卡的 IP 地址。当 WAN 路由器处在一个或多个外围防火墙之后时,应让数据包从映射的 IP 地址发送到 WAN 路由器,并在 WAN 路由器中设定静态路由,从而通过 IPCOP 的红色网卡将数据包发送到 DMZ。一个比较好的操作方式是,在 WAN 路由器端口和每台与 DMZ-EXT 相关联的ESX Server物理网卡之间设置专用的交换机或 VLAN 用于数据传输。

虚拟 DMZ 的优势

创建虚拟 DMZ 带来的益处之一是,在维护过程中可以非常灵活地将所有 DMZ 组件,包括 DMZ 防火墙本身,移至其他的 ESX Server 主机。我们假设以 IPCOP 作为 DMZ 的防火墙,并且 DMZ 中有 10 台虚拟网络服务器。如下面图 1 所示,该示例中所有与 DMZ 相关的虚拟机,包括防火墙和 DMZ 成员服务器,都在一个名为 ESX01 的八路服务器上运行。为了在 ESX01 上进行 BIOS 升级而不影响服务,可以使用 VMotion 来将这些业务关键服务器移至其他 ESX Server 主机。同一网络中的主机 ESX02 ESX03 都是四路 ESX Server 主机,且每个主机仅可容纳大约六七个额外的虚拟机。通过虚拟 DMZ(如图 1 所示),IPCOP 防火墙和 DMZ 中的网络服务器可以移至 ESX02,其余的五个 DMZ 网络服务器则可以移至 ESX03。这样的虚拟机重组对于 Internet 上的用户来说是完全察觉不到的,它只需要几分钟时间,并且重组之后的安全级别与整个 DMZ 完全在 ESX01 上运行时相比,毫无二致。Internet DMZ 成员服务器之间的两个火墙,会防止恶意利用防护墙平台已知弱点的入侵企图。

美国东北部一家处于发展阶段的抵押公司,已经非常成功地部署了这一类型的虚拟 DMZ。其灵活性让 DMZ 服务器实现了近两年的无故障运行。然而,对于物理 DMZ 来说,要实现相同的效果是十分困难的,并且需要付出更高的成本,因为在物理环境中,某些组件一旦离线,就必定会造成服务中断。此外,代理加速和 Internet 追踪功能帮助这家公司控制了带宽消耗,并且没有为专用物理服务器进行额外的支出。使用虚拟基础架构承载基础架构服务,将会以低廉的成本实现更高水平的灵活性和精细配置。

结论

本文重点讨论了在 VMware Infrastructure 上部署和管理基础架构服务所需的全新思维方式。文中还提供了在一个或多个具有较轻负载的虚拟 CPU 上创建和分配工作负载的方法,以及有关组合虚拟 SMP 与单虚拟 CPU 工作负载的建议。应尽量保持较轻的工作负载,在多个适当规模的 ESX Server 主机之间对工作负载进行分配,并根据需要利用 DRS 平衡 ESX Server 主机之间的工作负载。应该对 ESX Server 主机之间的虚拟机冗余进行规划,并利用 VMware HA 确保服务的持续可用性。通过在 ESX Server 平台上承载基础架构服务,实现了更高水平的灵活性,更少的停机时间,以及对 IT 资源的统一管理。在通用的虚拟平台上承载基础架构服务和其他类型的服务器,实现了 IT 环境更低的复杂性和更高的可管理性,进而实现了整体上更佳的战略效益和经济效益。
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章