常見的方法有三種:
1.分別部署
2.部分虛擬化
3.全部虛擬化
傳統DMZ部署結構:
分別部署:
想要保持DMZ區域物理隔離采用這種方法,每個區域分別部署進入不同的服務器集群,區域之間的連接采用物理的安全設備。原本的物理網絡不需要進行任何修改。唯一傳統的部署方式的不同為,區域內使用了服務器虛擬化技術。
優點:簡單,不復雜;基本不改變物理環境;運維不改動;配置錯誤的概率低;
缺點:資源利用率低;價格昂貴
部分虛擬化:
使用虛擬化技術對安全區域進行划分,可以根據安全等級的不同,對虛擬服務器定級不同的信任等級。仍然使用物理的安全設備對區域進行配置,此配置為划分區域的一部分, 但是所有區域內的虛擬化服務器都在同一個需虛擬化資源池中。
優點:資源利用率高;服務器全部進行的了虛擬化;成本較低;
缺點:配置比較復雜;運維職責改變;錯誤配置率高;
全部虛擬化:
服務器和安全設備全部進行虛擬化。被稱為“DMZ in a box”,此架構方案保證了資源的最大的利用率,最小的成本。
優點:所有設備均虛擬化代替了物理設備;最低的成本;單台管理設備即可管理整個DMZ區域的設備;
缺點:架構最復雜的,配置最負責,配置錯誤的概率極高;要求明確的職責分離以降低錯誤配置的風險,並且保證周期性的審查;需正確的配置相關安全設備。