連接虛擬環(huán)境與DMZ網(wǎng)絡(luò)架構(gòu)
在物理環(huán)境中,DMZ網(wǎng)絡(luò)可以為內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)提供緩沖,保證同時(shí)連接到兩個網(wǎng)絡(luò)上的服務(wù)器的安全。然而,當(dāng)虛擬環(huán)境與DMZ網(wǎng)絡(luò)架構(gòu)連接時(shí),仍然會出現(xiàn)新的安全問題,因此,網(wǎng)絡(luò)管理員必須采用新的設(shè)計(jì)方法來應(yīng)對這些挑戰(zhàn)。
DMZ網(wǎng)絡(luò)是如何支持物理環(huán)境的
作為內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)的緩沖,DMZ網(wǎng)絡(luò)是由防火墻保護(hù)的,它能夠根據(jù)IP地址和TCP/IP端口號阻擋網(wǎng)絡(luò)流量。
在物理環(huán)境中,服務(wù)器與一個獨(dú)立的網(wǎng)絡(luò)交換機(jī)相連,交換機(jī)由一臺物理防火墻保護(hù),防火墻再與DMZ交換機(jī)、內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)相連。服務(wù)器本身能夠直接與DMZ連接,并且它與內(nèi)部和外部網(wǎng)絡(luò)的連接是受防火墻保護(hù)的。如果服務(wù)器受到攻擊,攻擊者只能訪問DMZ網(wǎng)絡(luò),而無法繞過防火墻訪問內(nèi)部網(wǎng)絡(luò)。
DMZ中的任何服務(wù)都只能與DMZ交換機(jī)相連,并且不能夠同時(shí)物理連接到DMZ網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)。如果服務(wù)器同時(shí)連接這兩個網(wǎng)絡(luò),那么它實(shí)際上就變成一個橋梁,當(dāng)受到攻擊時(shí),攻擊者就可以利用它繞過防火墻直接到達(dá)內(nèi)部網(wǎng)絡(luò)。然而,通過分離內(nèi)部網(wǎng)絡(luò),DMZ網(wǎng)絡(luò)和外部互聯(lián)網(wǎng)都能夠正常工作。
將虛擬機(jī)連接到DMZ網(wǎng)絡(luò)的問題
虛擬化后,用DMZ網(wǎng)絡(luò)隔離物理服務(wù)器的傳統(tǒng)方法就無法正常生效了,其原因如下:
虛擬化是將許多虛擬服務(wù)器實(shí)例整合到一個物理服務(wù)器上。結(jié)果,一臺宿主就包含了許多個不同功能和需求的虛擬機(jī)。一般情況下,一個宿主會連接多個物理網(wǎng)絡(luò)來實(shí)現(xiàn)虛擬機(jī)的VLAN需求。它通常使用 802.1Q VLAN標(biāo)記方法,因此在一個物理網(wǎng)卡上支持多個VLAN所需要的網(wǎng)卡就會少一些。基于最大化資源使用率的原因,虛擬化的整合率一般都比較高,因此設(shè)置專用宿主來構(gòu)建DMZ環(huán)境會讓虛擬化顯得不劃算。
物理網(wǎng)絡(luò)擴(kuò)展到了一個擁有各自虛擬網(wǎng)卡和交換機(jī)網(wǎng)絡(luò)的虛擬宿主上,這個網(wǎng)絡(luò)的管理是與物理網(wǎng)絡(luò)是獨(dú)立的。物理防火墻無法控制虛擬網(wǎng)絡(luò),并且流量不會離開無保護(hù)的宿主。
每一個宿主本身都擁有一個控制宿主中所有虛擬機(jī)的管理控制臺——或者虛擬機(jī)。如果管理控制臺受到攻擊,那么宿主中所有虛擬機(jī)也會受到攻擊,因此它無法連接到DMZ網(wǎng)絡(luò)。
結(jié)果,當(dāng)把虛擬環(huán)境連接到DMZ網(wǎng)絡(luò)架構(gòu)時(shí),你需要采用一些適用于虛擬化架構(gòu)的設(shè)計(jì)方法。
將虛擬機(jī)連接到DMZ網(wǎng)絡(luò)架構(gòu)的方法
有幾個方法可以將宿主和虛擬機(jī)連接到DMZ網(wǎng)絡(luò)架構(gòu)上,并且它們都有一個共同點(diǎn):宿主的管理控制臺與內(nèi)部網(wǎng)絡(luò)連接。這似乎違反了一個基本原則,即物理服務(wù)器不能同時(shí)連接公共和私有網(wǎng)絡(luò),否則它就變成兩種網(wǎng)絡(luò)的開放橋梁了。雖然在運(yùn)行傳統(tǒng)操作系統(tǒng)的服務(wù)器上,這種做法是不允許的,但是在諸如vSphere的裸機(jī)(Type 1)虛擬機(jī)管理程序上則是可行的。
Type 1虛擬機(jī)管理程序是專門用來隔離和劃分虛擬機(jī)與vSwitch的。如果一個虛擬機(jī)受到攻擊,那么攻擊者就能夠獲得虛擬機(jī)操作系統(tǒng)的全部訪問權(quán)限。雖然他們能夠在操作系統(tǒng)層破壞虛擬機(jī),但是他們無法訪問或破壞虛擬機(jī)管理程序而訪問其他的虛擬機(jī)或宿主網(wǎng)絡(luò)。這是經(jīng)過驗(yàn)證的設(shè)計(jì),VMware從未報(bào)告過ESX和ESXi虛擬機(jī)管理程序受到過此類攻擊。
然而,這個管理控制臺必須位于內(nèi)部網(wǎng)絡(luò),不能位于DMZ,因?yàn)樗軌蛟L問宿主上的每一個虛擬機(jī),這個風(fēng)險(xiǎn)非常大。#p#
使用vSwitch管理DMZ網(wǎng)絡(luò)的虛擬機(jī)
連接DMZ的宿主的其他部分網(wǎng)絡(luò)架構(gòu)可以采用幾種不同的方式實(shí)現(xiàn)。在使用標(biāo)記時(shí),虛擬交換機(jī)(vSwitch)可以支持多個物理網(wǎng)卡和多個VLAN。一個宿主可以擁有多個vSwitch,但是物理網(wǎng)卡必須對應(yīng)一個專用的vSwitch,而且它不能在多個網(wǎng)卡中共享。通常多個vSwitch會對應(yīng)一個專屬的宿主功能或虛擬機(jī)組。此外,vSwitch一般擁有多個物理網(wǎng)卡,以備故障恢復(fù)和負(fù)載均衡。
當(dāng)在一個宿主上創(chuàng)建DMZ網(wǎng)絡(luò)架構(gòu)時(shí),必須符合一條黃金法則:要專門使用一個vSwitch連接DMZ并且不能把它共享給任何內(nèi)部VLAN。通過這種方式將DMZ流量與其本身的物理網(wǎng)卡隔離,這樣,它就不會共享任何來自私有網(wǎng)絡(luò)的虛擬機(jī)流量。vSwitch實(shí)際上是一個軟件2層交換機(jī),它位于宿主的RAM中,宿主的物理網(wǎng)卡(上行鏈路)與分配給虛擬機(jī)的虛擬網(wǎng)卡相連。每一個vSwitch之間都是相互隔離的,后臺不存在連接vSwitch的鏈路。如果一個vSwitch的虛擬機(jī)需要連接相同宿主中另一個vSwitch的虛擬機(jī),那么它需要經(jīng)過物理網(wǎng)絡(luò),這樣傳統(tǒng)的物理網(wǎng)絡(luò)安全機(jī)制就能夠保護(hù)和隔離vSwitch之間的流量。通過給DMZ分配一個專用的vSwitch,你就能夠使用傳統(tǒng)的物理防火墻來保護(hù)DMZ,同時(shí)保證它與可能連接內(nèi)部網(wǎng)絡(luò)宿主的其他vSwitch是隔離的。
VLAN標(biāo)記如何支持DMZ網(wǎng)絡(luò)中多個VLAN
你可以使用vSwitch內(nèi)的VLAN標(biāo)記對DMZ網(wǎng)絡(luò)進(jìn)行進(jìn)一步劃分,從而在DMZ中實(shí)現(xiàn)多個VLAN。然而,有時(shí)候你也可能需要對虛擬機(jī)進(jìn)行物理隔離,這樣你就能夠創(chuàng)建多個其物理網(wǎng)卡與DMZ網(wǎng)絡(luò)相連接的vSwitch。因此,每一個vSwitch都能得到物理防火墻的保護(hù);同時(shí)內(nèi)部虛擬機(jī)流量會被強(qiáng)制通過一個物理防火墻。
所以,你在一個宿主上提供一個或多個專用的vSwitch來連接DMZ網(wǎng)絡(luò)——你可以將整個宿主專用于只連接DMZ的虛擬機(jī)嗎?如果你希望實(shí)現(xiàn)更優(yōu)的安全和內(nèi)部網(wǎng)絡(luò)虛擬機(jī)隔離,那么你可以這樣做,但是將vSwitch同時(shí)連接到同一個宿主的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)也是一種常見的做法。正如我們之前介紹的,這是可以的,因?yàn)樘摂M機(jī)管理程序能夠隔離來自不同vSwitch的流量。下面是一個典型網(wǎng)絡(luò)配置圖,其中一臺宿主連接到一個DMZ網(wǎng)絡(luò),它部署了獨(dú)立的vSwitch來處理DMZ網(wǎng)絡(luò)虛擬機(jī)流量、內(nèi)部網(wǎng)虛擬機(jī)流量和管理控制臺流量。
這種設(shè)計(jì)可以使你提高宿主資源使用率,因?yàn)槟憧赡苤挥猩贁?shù)虛擬機(jī)需要連接DMZ。將整個宿主專門用來連接DMZ可能會浪費(fèi)資源。每一個vSwitch都擁有自已的物理網(wǎng)卡,它們連接獨(dú)立的物理交換機(jī),而這些交換機(jī)通過物理防火墻與其他網(wǎng)絡(luò)隔離。
連接互聯(lián)網(wǎng)總是存在一定的風(fēng)險(xiǎn),但是,如果你做出了明智的決定,那么你可以將一個宿主連接到DMZ網(wǎng)絡(luò)。安全的DMZ網(wǎng)絡(luò)架構(gòu)必須在虛擬和物理層面上,同時(shí)包含正確的設(shè)計(jì)和安全控制。這樣,你才能夠安全地提高虛擬化帶給DMZ環(huán)境的優(yōu)勢。
【編輯推薦】
