虚拟服务器简介
虚拟服务器 (简称 VPS) 是物理服务器上的一个隔离分区,它具有独立的操作系统和应用程序,就像一台独立的服务器一样运行。与共享主机不同,虚拟服务器为每个用户提供了独占的资源,例如 CPU、RAM 和存储空间,从而提供了更高的性能和控制。
专用服务器简介
专用服务器是指整个物理服务器都由单个租户租用。与虚拟服务器不同,专用服务器不受其他租户资源使用的影响,因此可以提供最大的性能和控制。用户可以根据自己的需求选择硬件配置和安装自己的操作系统。
成本比较
虚拟服务器通常比专用服务器更便宜,因为它们共享物理服务器的资源。虚拟服务器的价格通常基于资源分配,例如 CPU 核心数、RAM 大小和存储空间。专用服务器的价格则基于硬件配置和租赁期。
在选择虚拟服务器还是专用服务器时,成本是一个需要考虑的重要因素。对于预算较低的企业或个人,虚拟服务器可能是更好的选择。对于需要最大性能和控制的企业或个人,专用服务器则是更好的选择。
功能比较
| 功能 | 虚拟服务器 | 专用服务器 |
|---|---|---|
| 独立性 | 共享物理资源 | 独享物理资源 |
| 性能 | 受其他租户影响 | 不受其他租户影响 |
在TP-link的家用路由器中DMZ主机和虚拟服务器之间的区别,以及他们与NAT的区别?
DMZ主机是为了实现网络隔离,2个网络之间的缓冲区域。
其访问权限比较特别。
比如一个校园网和Internet互联,可以设置一个DMZ,让校园网和Internet不可以直接互相访问,而只能通过DMZ。
而DMZ不能访问校园网。
而虚拟服务器是指使用内网私有IP的PC不能作为服务器,而路由器提供端口映射功能,可以把使用私有IP的PC的某个进程的端口映射到网关的的某个端口,从外部来看,与这个PC进程的通讯的IP就是一个ISP提供的Internet中的IP。
所以称为虚拟服务器。
如何连接虚拟环境与DMZ网络架构求解答
然而,当虚拟环境与DMZ网络架构连接时,仍然会出现新的安全问题,因此,网络管理员必须采用新的设计方法来应对这些挑战。
文介绍了DMZ网络如何支持物理环境,将虚拟机连接到DMZ网络架构的方法,用vSwitch管理DMZ网络的虚拟机,以及VLAN标记如何支持DMZ网络中多个VLAN。
在物理环境中,DMZ网络可以为内部网络和互联网提供缓冲,保证同时连接到两个网络上的服务器的安全。
然而,当虚拟环境与DMZ网络架构连接时,仍然会出现新的安全问题,因此,网络管理员必须采用新的设计方法来应对这些挑战。
DMZ网络是如何支持物理环境的 作为内部网络和互联网的缓冲,DMZ网络是由防火墙保护的,它能够根据IP地址和TCP/IP端口号阻挡网络流量。
在物理环境中,服务器与一个独立的网络交换机相连,交换机由一台物理防火墙保护,防火墙再与DMZ交换机、内部网络和外部网络相连。
服务器本身能够直接与DMZ连接,并且它与内部和外部网络的连接是受防火墙保护的。
如果服务器受到攻击,攻击者只能访问DMZ网络,而无法绕过防火墙访问内部网络。
DMZ中的任何服务都只能与DMZ交换机相连,并且不能够同时物理连接到DMZ网络和内部网络。
如果服务器同时连接这两个网络,那么它实际上就变成一个桥梁,当受到攻击时,攻击者就可以利用它绕过防火墙直接到达内部网络。
然而,通过分离内部网络,DMZ网络和外部互联网都能够正常工作。
将虚拟机连接到DMZ网络的问题 虚拟化后,用DMZ网络隔离物理服务器的传统方法就无法正常生效了,其原因如下: ·虚拟化是将许多虚拟服务器实例整合到一个物理服务器上。
结果,一台宿主就包含了许多个不同功能和需求的虚拟机。
一般情况下,一个宿主会连接多个物理网络来实现虚拟机的VLAN需求。
它通常使用 802.1Q VLAN标记方法,因此在一个物理网卡上支持多个VLAN所需要的网卡就会少一些。
基于最大化资源使用率的原因,虚拟化的整合率一般都比较高,因此设置专用宿主来构建DMZ环境会让虚拟化显得不划算。
·物理网络扩展到了一个拥有各自虚拟网卡和交换机网络的虚拟宿主上,这个网络的管理是与物理网络是独立的。
物理防火墙无法控制虚拟网络,并且流量不会离开无保护的宿主。
·每一个宿主本身都拥有一个控制宿主中所有虚拟机的管理控制台——或者虚拟机。
如果管理控制台受到攻击,那么宿主中所有虚拟机也会受到攻击,因此它无法连接到DMZ网络。
结果,当把虚拟环境连接到DMZ网络架构时,你需要采用一些适用于虚拟化架构的设计方法。
将虚拟机连接到DMZ网络架构的方法 有几个方法可以将宿主和虚拟机连接到DMZ网络架构上,并且它们都有一个共同点:宿主的管理控制台与内部网络连接。
这似乎违反了一个基本原则,即物理服务器不能同时连接公共和私有网络,否则它就变成两种网络的开放桥梁了。
虽然在运行传统操作系统的服务器上,这种做法是不允许的,但是在诸如vSphere的裸机(Type 1)虚拟机管理程序上则是可行的。
Type 1虚拟机管理程序是专门用来隔离和划分虚拟机与vSwitch的。
如果一个虚拟机受到攻击,那么攻击者就能够获得虚拟机操作系统的全部访问权限。
虽然他们能够在操作系统层破坏虚拟机,但是他们无法访问或破坏虚拟机管理程序而访问其他的虚拟机或宿主网络。
这是经过验证的设计,VMware从未报告过ESX和ESXi虚拟机管理程序受到过此类攻击。
然而,这个管理控制台必须位于内部网络,不能位于DMZ,因为它能够访问宿主上的每一个虚拟机,这个风险非常大。
使用vSwitch管理DMZ网络的虚拟机 连接DMZ的宿主的其他部分网络架构可以采用几种不同的方式实现。
在使用标记时,虚拟交换机(vSwitch)可以支持多个物理网卡和多个VLAN。
一个宿主可以拥有多个vSwitch,但是物理网卡必须对应一个专用的vSwitch,而且它不能在多个网卡中共享。
通常多个vSwitch会对应一个专属的宿主功能或虚拟机组。
此外,vSwitch一般拥有多个物理网卡,以备故障恢复和负载均衡。
当在一个宿主上创建DMZ网络架构时,必须符合一条黄金法则:要专门使用一个vSwitch连接DMZ并且不能把它共享给任何内部VLAN。
通过这种方式将DMZ流量与其本身的物理网卡隔离,这样,它就不会共享任何来自私有网络的虚拟机流量。
vSwitch实际上是一个软件2层交换机,它位于宿主的RAM中,宿主的物理网卡(上行链路)与分配给虚拟机的虚拟网卡相连。
每一个vSwitch之间都是相互隔离的,后台不存在连接vSwitch的链路。
如果一个vSwitch的虚拟机需要连接相同宿主中另一个vSwitch的虚拟机,那么它需要经过物理网络,这样传统的物理网络安全机制就能够保护和隔离vSwitch之间的流量。
通过给DMZ分配一个专用的vSwitch,你就能够使用传统的物理防火墙来保护DMZ,同时保证它与可能连接内部网络宿主的其他vSwitch是隔离的。
VLAN标记如何支持DMZ网络中多个VLAN 你可以使用vSwitch内的VLAN标记对DMZ网络进行进一步划分,从而在DMZ中实现多个VLAN。
然而,有时候你也可能需要对虚拟机进行物理隔离,这样你就能够创建多个其物理网卡与DMZ网络相连接的vSwitch。
因此,每一个vSwitch都能得到物理防火墙的保护;同时内部虚拟机流量会被强制通过一个物理防火墙。
所以,你在一个宿主上提供一个或多个专用的vSwitch来连接DMZ网络——你可以将整个宿主专用于只连接DMZ的虚拟机吗?如果你希望实现更优的安全和内部网络虚拟机隔离,那么你可以这样做,但是将vSwitch同时连接到同一个宿主的内部网络和外部网络也是一种常见的做法。
正如我们之前介绍的,这是可以的,因为虚拟机管理程序能够隔离来自不同vSwitch的流量。
下面是一个典型网络配置图,其中一台宿主连接到一个DMZ网络,它部署了独立的vSwitch来处理DMZ网络虚拟机流量、内部网虚拟机流量和管理控制台流量。
图1 vSwitch示意图 这种设计可以使你提高宿主资源使用率,因为你可能只有少数虚拟机需要连接DMZ。
将整个宿主专门用来连接DMZ可能会浪费资源。
每一个vSwitch都拥有自已的物理网卡,它们连接独立的物理交换机,而这些交换机通过物理防火墙与其他网络隔离。
连接互联网总是存在一定的风险,但是,如果你做出了明智的决定,那么你可以将一个宿主连接到DMZ网络。
安全的DMZ网络架构必须在虚拟和物理层面上,同时包含正确的设计和安全控制。
这样,你才能够安全地提高虚拟化带给DMZ环境的优势。
路由器中的虚拟服务器和DMZ
配置步骤
1、WEB服务器
1) 内网搭建好服务器,保证内网pc可以正常访问,以及该服务器可以正常访问互联网;
2) 登陆路由器的管理界面,选择“转发规则”->“虚拟服务器”,进行对应的端口映射设置。
如在外部使用8080端口访问内部80端口的WEB服务器。
◆服务名称:填入该虚拟服务器规则的名称,最多支持28个字符。
◆外部端口:填入路由器提供给广域网访问时使用的端口,如本例中使用8080端口。
◆内部端口:填入局域网中服务器的端口,如本例中是80端口。
◆服务协议:可以选择TCP,UDP协议,或者可以都选(根据内网服务器而定)。
◆内部服务器IP:填入局域网中WEB服务器的IP地址,如本例中是192.168.1.100。
◆启用/禁用规则:“启用”表示此规则生效,“禁用”表示此规则不生效。
填入所有的信息后,点击“新增”按钮,即可添加完成。添加后的规则信息如下:
3) 设置完成后,外网pc可以使用路由器的WAN口IP加外部端口号来访问内网的WEB服务器(假设本例WAN口IP为1.1.1.1,访问方式为http://1.1.1.1:8080)。
4) 如果WAN口IP是通过PPPOE拨号或者动态获取的,用户可以通过申请花生壳动态域名,实现通过域名来访问内部服务器。
注意:若服务器对外开放端口是80端口,在实施端口映射前需要将路由器的管理端口更改,更改方法为:管理界面->系统服务->WEB服务器->服务端口->WEB服务端口,将默认的80端口修改为88或其他端口。
修改后登陆路由器管理界面的方法为:口IP地址:新端口。
DMZ主机
但在在某些特殊情况下,用户希望让局域网中的一台计算机完全暴露给广域网,以实现双向通信,此时可以把该计算机设置为DMZ主机。
当外网用户访问路由器的外网地址时,其实访问的就是局域网中的计算机。
局域网中设置DMZ(Demilitarized Zone,非军事区)主机后,该主机将完全暴露给广域网,可以实现双向无限制通信。
DMZ主机实际上就是一个开放了所有端口的虚拟服务器,当需要设置的虚拟服务器的开放端口不确定时,可以把它设置成DMZ主机。
选择菜单转发规则→DMZ主机,可以在图 5-28所示界面中设置DMZ主机。
▲ DMZ主机
DMZ状态: 选择是否启用DMZ主机功能。
DMZ主机IP地址: 输入要设置为DMZ主机的局域网计算机的静态IP地址。
完成设置后,点击保存按钮。
实例:把局域网中IP地址为192.168.0.10的计算机设置为DMZ主机,以实现它与Internet上另一台主机的双向通信。
设置方法:
当把主机设置成DMZ主机后,该计算机完全暴露于外网,防火墙对该主机不再起作用。
外网用户访问路由器外网地址时,访问的就是192.168.0.10这台计算机。
注意:
1. 添加DMZ主机可能会给该主机带来不安全因素,因此不要轻易使用这一选项。
2. DMZ主机的优先级低于虚拟服务器,因特网用户对路由器同一端口的访问将优先转发到虚拟服务器所对应的局域网服务器上。
