DMZ(Demilitarized Zone,非军事区)是为了解决安装防火墙后外网不能访问内网服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。该缓冲区位于数据中心和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业 Web 服务器、FTP 服务器等。通过这样一个 DMZ 区域,更加有效地保护了内部网络。因为这种网络部署,比起一般的防火墙方案,对来自外网的攻击者来说又多了一道关卡。
典型的 DMZ
传统 DMZ 的缺点是不够灵活,增加新的应用涉及到配置多个网络域:DMZ、数据中心内网、防火墙等等。而这几个网络域往往又是由几个不同的团队负责管理的,这就涉及到团队之间的沟通、变更申请、审批等流程,比较费时,就更不用说自动化了。
有了 NSX 的分布式防火墙之后,配置 DMZ 就变得简单多了,下图中每个虚机都自带一个分布式防火墙,防火墙的规则定义了位于 Web-tier 网段的两台虚机处于一个逻辑上的 DMZ。
我们来看一下防火墙规则的设置(上图中的表格):
- 规则 1:Web-VM1 和 Web-VM2 相互隔离;
- 规则 2:允许 HTTPS 协议访问 Web-tier(即 DMZ)中的两台 Web 服务器,并且把数据包重定向到 PAN(PaloAlto Network)的专用防火墙进行检查;
- 规则 3:禁止所有其他的网络协议访问 DMZ 中的服务器;
- 规则 4:允许 Web-tier 中的服务器通过 TCP 端口 8443 访问 App-tier;
- 规则 5:禁止所有其他针对 App-tier 的网络协议和端口访问。
可以看到外部网络访问通过路由器只能访问 DMZ 中的两台 Web 服务器虚机,而不能访问 App-tier 上的两台应用服务器,因为它们处于分布式防火墙的保护之下。
通过 NSX 的分布式防火墙,DMZ 隔离区的配置就变得非常灵活。管理员可以灵活地根据业务需要配置 DMZ 隔离区,DMZ 隔离区也不再需要部署在数据中心防火墙之外,而是可以在数据中心的任何一台安装了 NSX 的服务器上,这就是 NSX 给我们带来的网络安全一大便利:DMZ Anywhere。
