ESXi 분리 및 가상 네트워킹 기능을 사용하여 안전한 환경을 구성하는 방법의 한 가지 예로 단일 호스트에 네트워크 DMZ(완충 지역)를 생성하는 방법이 있습니다.

그림 1. DMZ가 단일 ESXi 호스트에 구성됨
DMZ가 단일 ESXi 호스트에 구성됨

이 예에서는 가상 시스템 네 개를 구성하여 표준 스위치 2에 가상 DMZ를 생성합니다.

  • 가상 시스템 1과 가상 시스템 4는 방화벽을 실행하고 표준 스위치를 통해 물리적 네트워크 어댑터에 연결됩니다. 두 가상 시스템 모두 여러 스위치를 사용하고 있습니다.

  • 가상 시스템 2는 웹 서버를 실행하고 가상 시스템 3은 애플리케이션 서버로 실행됩니다. 두 가상 시스템 모두 1개의 가상 스위치에 연결되어 있습니다.

웹 서버와 애플리케이션 서버는 두 방화벽 사이의 DMZ를 차지하며 이 두 요소 사이의 통로는 방화벽을 서버와 연결하는 표준 스위치 2입니다. 이 스위치는 DMZ 외부의 어떤 요소와도 직접 연결되지 않으며, 두 방화벽에 의해 외부 트래픽으로부터 분리됩니다.

작동 측면에서 보면 인터넷으로부터의 외부 트래픽은 하드웨어 네트워크 어댑터 1(표준 스위치 1에서 라우팅함)을 통해 가상 시스템 1에 수신되며, 이 시스템에 설치된 방화벽을 통해 검증됩니다. 방화벽이 트래픽을 인증하면 트래픽은 DMZ의 표준 스위치인 표준 스위치 2로 라우팅됩니다. 웹 서버와 애플리케이션 서버도 이 스위치에 연결되어 있기 때문에 이 두 서버에서 외부 요청을 처리할 수 있습니다.

표준 스위치 2는 가상 시스템 4와도 연결되어 있으며, 이 가상 시스템은 DMZ와 내부 회사 네트워크 사이에 방화벽을 제공합니다. 이 방화벽은 웹 서버와 애플리케이션 서버에서 전송한 패킷을 필터링합니다. 패킷이 검증되면 해당 패킷은 표준 스위치 3을 통해 하드웨어 네트워크 어댑터 2로 라우팅되며 하드웨어 네트워크 어댑터 2는 내부 회사 네트워크에 연결됩니다.

단일 호스트에 DMZ를 생성하는 경우에는 경량 방화벽을 사용할 수 있습니다. 이 구성에서는 가상 시스템이 다른 가상 시스템을 직접적으로 제어하거나 해당 메모리에 액세스하지 못하지만 모든 가상 시스템은 가상 네트워크를 통해 연결되어 있습니다. 이 네트워크는 바이러스 전파에 사용되거나 다른 종류의 공격의 대상이 될 수 있습니다. DMZ에 있는 가상 시스템의 보안 수준은 같은 네트워크에 연결되어 있는 개별 물리적 시스템의 보안 수준과 동일합니다.