QA@IT

LANとDMZ両方に接続した仮想サーバーの構築

7782 PV

ネットワーク内にFirewallが設置されており、内部のネットワークはDMZとLANに分かれています。
DMZ側にはグローバルIPが振られ、外部からアクセスできます。
LAN側にはローカルIPが振られ、外部からはアクセスできないようになっています。

この環境でサーバーを構築したいと思っています。
何台もサーバーをおけないため、仮想化を行う予定です。サーバーに2枚NICを差し、それぞれ
DMZとLANに接続します。ゲストサーバーは外部公開する場合はDMZ、内部のサーバーの場合は
LAN側のNICを使うように設定しようと考えています。
ゲストサーバーが両方のNICを使うことはないようにしようと考えています。また、ホストは
LAN側のNICのみ使用します。
OSはCentOS6.3 x64でKVMを利用する予定です。
このようなサーバーの構築はセキュリティ上問題があるでしょうか。DMZとLANで物理的に
サーバーを分けた方がよいのでしょうか。

回答

通常は以下のような構成になるのではないでしょうか?

ホストOS … DMZ,LANの2つのネットワークに接続
LANに置きたいゲストOS … LANのみを割り当て
DMZに置きたいゲストOS … LAN,DMZの両方を割り当て

そして、ファイアウォール側で、
・Global ⇔ DMZ … 外部公開サーバで使うポートのみを許可
・DMZ ⇔ LAN … DBサーバや管理端末との通信のみを許可
・Global ⇔ LAN … 外部からLANへの侵入を遮断

の3種類のルールでセキュリティ管理をしていく形です。

もしDMZで使うサーバの機能が1サーバで完結しており、
LAN上端末との連携が必要無ければ、LANへの接続は不要です。

編集 履歴 (0)
  • 回答ありがとうございました。ファイヤーウォールをきちんと設定すればいいんですね。ファイヤーウォールは既に設置されているので大丈夫です。ホストOSは外部公開する必要がないのでLANのみにしました。グローバルIPに限りがあるので外部公開しないものはLANのみにしています。 -
ウォッチ

この質問への回答やコメントをメールでお知らせします。