DMZ在虚拟化环境中的部署

常见的方法有三种：

1.分别部署

2.部分虚拟化

3.全部虚拟化

传统DMZ部署结构：

分别部署：

想要保持DMZ区域物理隔离采用这种方法，每个区域分别部署进入不同的服务器集群，区域之间的连接采用物理的安全设备。原本的物理网络不需要进行任何修改。唯一传统的部署方式的不同为，区域内使用了服务器虚拟化技术。

优点：简单，不复杂；基本不改变物理环境；运维不改动；配置错误的概率低；

缺点：资源利用率低；价格昂贵

部分虚拟化：

使用虚拟化技术对安全区域进行划分，可以根据安全等级的不同，对虚拟服务器定级不同的信任等级。仍然使用物理的安全设备对区域进行配置，此配置为划分区域的一部分， 但是所有区域内的虚拟化服务器都在同一个需虚拟化资源池中。

优点：资源利用率高；服务器全部进行的了虚拟化；成本较低；

缺点：配置比较复杂；运维职责改变；错误配置率高；

全部虚拟化：

服务器和安全设备全部进行虚拟化。被称为“DMZ in a  box”，此架构方案保证了资源的最大的利用率，最小的成本。

 

 优点：所有设备均虚拟化代替了物理设备；最低的成本；单台管理设备即可管理整个DMZ区域的设备；

缺点：架构最复杂的，配置最负责，配置错误的概率极高；要求明确的职责分离以降低错误配置的风险，并且保证周期性的审查；需正确的配置相关安全设备。