在單一主機上建立網路非軍事區域 (DMZ) 是使用 ESXi 隔離和虛擬網路功能設定安全環境的一個範例。

圖表 1. 在單一 ESXi 主機上設定的 DMZ
在單一 ESXi 主機上設定的 DMZ

在此範例中,將四個虛擬機器設定為在標準交換器 2 上建立虛擬 DMZ:

  • 虛擬機器 1 和虛擬機器 4 執行防火牆,並透過標準交換器連線到實體網路介面卡。這兩個虛擬機器均使用多個交換器。

  • 虛擬機器 2 執行 Web 伺服器,同時虛擬機器 3 做為應用程式伺服器執行。這兩個虛擬機器均連線到一個虛擬交換器。

Web 伺服器和應用程式伺服器佔用兩個防火牆之間的 DMZ。這些元素之間的媒介是用來連線防火牆和伺服器的標準交換器 2。此交換器未與 DMZ 之外的任何元素進行直接連線,且透過兩個防火牆與外部流量相隔離。

從運作角度來看,外部流量透過硬體網路介面卡 1 (由標準交換器 1 路由) 從網際網路進入虛擬機器 1,並由此虛擬機器上安裝的防火牆進行驗證。如果經防火牆授權,流量可路由到 DMZ 中的標準交換器,即標準交換器 2。由於 Web 伺服器和應用程式伺服器也連線到此交換器,因此,它們可以滿足外部要求。

標準交換器 2 還與虛擬機器 4 相連線。此虛擬機器在 DMZ 和內部公司網路之間提供防火牆。此防火牆對來自 Web 伺服器和應用程式伺服器的封包進行篩選。驗證後的封包將透過標準交換器 3 路由到硬體網路介面卡 2。硬體網路介面卡 2 與內部公司網路相連線。

在單一主機上建立 DMZ 時,可使用相當輕量的防火牆。雖然此組態中的虛擬機器無法直接控制其他虛擬機器或存取其記憶體,但是所有虛擬機器仍然透過虛擬網路處於連線狀態。此網路可能會傳播病毒,或成為其他類型攻擊的對象。DMZ 中虛擬機器的安全性等同於連線到同一網路的獨立實體機器。