常见的方法有三种:
1.分别部署
2.部分虚拟化
3.全部虚拟化
传统DMZ部署结构:
分别部署:
想要保持DMZ区域物理隔离采用这种方法,每个区域分别部署进入不同的服务器集群,区域之间的连接采用物理的安全设备。原本的物理网络不需要进行任何修改。唯一传统的部署方式的不同为,区域内使用了服务器虚拟化技术。
优点:简单,不复杂;基本不改变物理环境;运维不改动;配置错误的概率低;
缺点:资源利用率低;价格昂贵
部分虚拟化:
使用虚拟化技术对安全区域进行划分,可以根据安全等级的不同,对虚拟服务器定级不同的信任等级。仍然使用物理的安全设备对区域进行配置,此配置为划分区域的一部分, 但是所有区域内的虚拟化服务器都在同一个需虚拟化资源池中。
优点:资源利用率高;服务器全部进行的了虚拟化;成本较低;
缺点:配置比较复杂;运维职责改变;错误配置率高;
全部虚拟化:
服务器和安全设备全部进行虚拟化。被称为“DMZ in a box”,此架构方案保证了资源的最大的利用率,最小的成本。
优点:所有设备均虚拟化代替了物理设备;最低的成本;单台管理设备即可管理整个DMZ区域的设备;
缺点:架构最复杂的,配置最负责,配置错误的概率极高;要求明确的职责分离以降低错误配置的风险,并且保证周期性的审查;需正确的配置相关安全设备。