扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在设计一个网络时,服务器管理员和网络管理员可能彼此并不清楚对方的需求。之前我在博客中解释过为什么安全区对于网络设计来说是最重要的,但设计时加入了独立的VLAN又会是是怎么样呢?
网络安全区可以通过在路由器前架设防火墙或者在系统前架设防火墙的方式实现。不论哪种方式,都需要使用IPSec规则,或者操作系统防火墙(比如Windows自带的防火墙)。而另一种对安全区提供保护的方式就是直接建立一个完全独立的VLAN 。
从网络交换的角度看,一个完全独立的VLAN基本上都属于Layer 2 (L2) 连接,并且不通过路由器与其他TCP/IP网络连接。这个完全独立的网络需要有专用的接口以及交换设备,但是很多时候,这样做意味着成本提高,并且所需的端口数难以满足。对于何时采用完全隔离的L2 VLAN,我在实际工作中发现了一些比较有代表性的方案,可以确实起到独立VLAN的保护作用。
最常见的使用情况是,有多端口的独立系统,可以专门用于独立VLAN相关的安全区。当然,如果一个系统连接到多个安全区,也会有风险并引发相关的问题。因此最重要的一点是,在这些系统间不要有桥接或者路由功能,否则一切努力都白费了。
坦率的讲,如果系统中的每个角色只使用确定的端口,那么这整个系统会适用于大多数环境。独立的安全区的常见应用是在虚拟机迁移时保护数据安全。对于安装VMware 来说,这种应用体现出了如何在虚拟机迁移时保护未经加密的数据。另外,还有其他一些常见应用,基本上都是用来防止man-in-the-middle类型的攻击。而接下来我们要面对的问题只是要不要将这个L2网络路由到其他大型网络环境中去的问题了。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者