在单台主机上创建网络隔离区 (DMZ) 是使用 ESXi 隔离和虚拟网络功能配置安全环境的一个示例。

图 1. 在单台 ESXi 主机上配置的 DMZ
在单台 ESXi 主机上配置的 DMZ

在此示例中,将四个虚拟机配置为在标准交换机 2 上创建虚拟 DMZ:

  • 虚拟机 1 和虚拟机 4 运行防火墙,并通过标准交换机连接到物理网络适配器。这两个虚拟机均使用多个交换机。

  • 虚拟机 2 运行 Web 服务器,同时虚拟机 3 作为应用程序服务器运行。这两个虚拟机均连接到一个虚拟交换机。

Web 服务器和应用程序服务器占用两个防火墙之间的 DMZ。这两个元素之间的媒介是用来连接防火墙和服务器的标准交换机 2。此交换机未与 DMZ 之外的任何元素进行直接连接,且通过两个防火墙与外部流量相隔离。

从运行角度来看,外部流量通过硬件网络适配器 1(由标准交换机 1 路由)从 Internet 进入虚拟机 1,并由此虚拟机上安装的防火墙进行验证。如果经防火墙授权,流量可路由至 DMZ 中的标准交换机,即标准交换机 2。由于 Web 服务器和应用程序服务器也连接至此交换机,因此,它们可以满足外部请求。

标准交换机 2 还与虚拟机 4 相连。此虚拟机在 DMZ 和内部企业网络之间提供防火墙。此防火墙对来自 Web 服务器和应用程序服务器的数据包进行筛选。验证后的数据包将通过标准交换机 3 路由至硬件网络适配器 2。硬件网络适配器 2 与内部企业网络相连。

在单台主机上创建 DMZ 时,可使用相当轻量的防火墙。尽管此配置中的虚拟机无法直接控制其他虚拟机或访问其内存,但是所有虚拟机仍然通过虚拟网络处于连接状态。此网络可能会传播病毒,或成为其他类型攻击的对象。DMZ 中虚拟机的安全性等同于连接到同一网络的独立物理机。