สอบถามเรื่องการทำ DMZ ครับ
อธิบายการทำแบบปัจจุบันก่อนนะครับ
เป็นการต่อผ่าน Firewall ( Fortigate ) โดยตั้ง Interface ขึ้นมา 1 Port เลยว่าคือ DMZ Zone นะ สมมุติว่า Port 11
ซึ่งปัจจุบันเจ้า Port 11 เนี่ยไปต่อกับ Switch L2 อีกทีนึง( Unmanage) สวิตซ์บ้านๆนี่แหละครับ 10/100/100 8 port แล้วเอาสายแลนไปจิ้มเข้า Server อีกทีที่เป็น Physical
แต่ตอนนี้เนี่ย มีเครื่อง Server ที่เป็น HCI ( Nutanix ) ทีนี่ผมต้องการที่จะใช้ Guest 1 ในนั้นไปเข้า DMZ ด้วย แต่ติดปัญหาตรงที่ เครื่อง Nutanix นั้นมันเป็น Internal Zone แต่ต้องการที่จะสร้าง vLan เพื่อไป DMZ ด้วย
มันติดตรงที่ DMZ มันไปต่อที่เครื่อง Physical ไปแล้ว จึงไม่สามารถเอาไปต่อผ่าน Port 11 ได้อีก *และไม่สามารถเอาสายลายของ Nutanix ไปเสียบต่อ Switch L2 ที่ต่อจาก Port 11 ได้ครับ
จึงอยากถามว่า ถ้าจะเอา เจ้า Fortigate Port 11 ที่เป้น DMZ ไปต่อเข้า Switch L3 แล้วสร้าง VLAN ให้มันชุดนึงเพื่อเป็น DMZ (สมมุติ vLAN 103) แล้วให้ Switch ไปจ่าาย VLAN ให้ทั้ง Nutanix + Physical เดิม แบบนี้สามารถทำได้หรือเปล่า มันจะ Secure หรือไม่ครับ พอจะมีแหล่งอ้างอิงอะไรที่พอเป็นข้อกำหนด หรือมาตรฐานในการทำ DMZ Zone ครับ
ขอบคุณครับ
ตัวอย่างการต่อปัจจุบัน ฝั่งซ้ายครับ
ส่วนฝั่งขวาคือที่อยากให้เป็น คือ สมมุติในเครื่อง nutanix มีอยุ่ 6 Guest จะเอา Guest ตัวที่ 2 4 5 ไปเข้า DMZ Zone แล้วเอา Physical Server ก็อยู่ในนี้ด้วย (ทำเป็น Web Service แล้วค่อยเรียกใช้ข้อมูลจากใน Internal Zone อีกที)
ส่วน Guest 1 3 6 เป็น Internal Zone ครับ
สอบถามเรื่องการทำ DMZ ครับ
อธิบายการทำแบบปัจจุบันก่อนนะครับ
เป็นการต่อผ่าน Firewall ( Fortigate ) โดยตั้ง Interface ขึ้นมา 1 Port เลยว่าคือ DMZ Zone นะ สมมุติว่า Port 11
ซึ่งปัจจุบันเจ้า Port 11 เนี่ยไปต่อกับ Switch L2 อีกทีนึง( Unmanage) สวิตซ์บ้านๆนี่แหละครับ 10/100/100 8 port แล้วเอาสายแลนไปจิ้มเข้า Server อีกทีที่เป็น Physical
แต่ตอนนี้เนี่ย มีเครื่อง Server ที่เป็น HCI ( Nutanix ) ทีนี่ผมต้องการที่จะใช้ Guest 1 ในนั้นไปเข้า DMZ ด้วย แต่ติดปัญหาตรงที่ เครื่อง Nutanix นั้นมันเป็น Internal Zone แต่ต้องการที่จะสร้าง vLan เพื่อไป DMZ ด้วย
มันติดตรงที่ DMZ มันไปต่อที่เครื่อง Physical ไปแล้ว จึงไม่สามารถเอาไปต่อผ่าน Port 11 ได้อีก *และไม่สามารถเอาสายลายของ Nutanix ไปเสียบต่อ Switch L2 ที่ต่อจาก Port 11 ได้ครับ
จึงอยากถามว่า ถ้าจะเอา เจ้า Fortigate Port 11 ที่เป้น DMZ ไปต่อเข้า Switch L3 แล้วสร้าง VLAN ให้มันชุดนึงเพื่อเป็น DMZ (สมมุติ vLAN 103) แล้วให้ Switch ไปจ่าาย VLAN ให้ทั้ง Nutanix + Physical เดิม แบบนี้สามารถทำได้หรือเปล่า มันจะ Secure หรือไม่ครับ พอจะมีแหล่งอ้างอิงอะไรที่พอเป็นข้อกำหนด หรือมาตรฐานในการทำ DMZ Zone ครับ
ขอบคุณครับ
ตัวอย่างการต่อปัจจุบัน ฝั่งซ้ายครับ
ส่วนฝั่งขวาคือที่อยากให้เป็น คือ สมมุติในเครื่อง nutanix มีอยุ่ 6 Guest จะเอา Guest ตัวที่ 2 4 5 ไปเข้า DMZ Zone แล้วเอา Physical Server ก็อยู่ในนี้ด้วย (ทำเป็น Web Service แล้วค่อยเรียกใช้ข้อมูลจากใน Internal Zone อีกที)
ส่วน Guest 1 3 6 เป็น Internal Zone ครับ