虚拟DMZ
- 产品/技术的原理
- 传统DMZ:
DMZ中文名称为“隔离区”,也称“非军事化区”;它是为解决安装防火墙后外部网络不能访问内部网络服务器的问题。网关DMZ功能开启后, 将内网的一台服务器完全暴露在外网(内网某个IP绑定到WAN口IP),其内网服务器的端口、协议等将于外网一致同步。当访问网关的WAN口公网IP时,就如内网访问这台内网服务器一样。
- 传统DMZ应用场景:
在 DMZ 区内,可部署一些公共服务器(例如 Web 服务器、邮件服务器、DNS服务器)或代理服务器,这些服务器需要与外部网络通信,但无需直接访问内部网络资源。通过将这些公共服务置于 DMZ 区中,可以有效减少内部网络风险。这是因为攻击者成功入侵 DMZ 区后,仍需克服更多障碍才能访问内部网络中的敏感数据。
- 贝锐虚拟DMZ:
(技术架构图)
贝锐软硬组网的底层逻辑主要是在云端架设云网关,并给本地的软件、硬件分配虚拟IP,通过虚拟IP映射关系做好不同的组网策略以实现不同成员之间的相互访问。
贝锐虚拟DMZ技术基于组网通讯基础(L3网络层交互)上,创建虚拟IP路由指向策略。即通过把蒲公英路由器下挂设备IP绑定到蒲公英路由器虚拟网关的IP,当需要请求组网内的下挂设备时,云网关请求会流转到路由器的虚拟IP地址,通过虚拟IP地址找到路由器并转发数据包到下挂设备上,即可实现设备与设备之间网络层相互通讯。
- 作用及价值
在制造业中,存在大量已经提前布设好的工控网络、监控网络等网络环境,如采用一般的硬件组网方案,则常见发生IP地址段冲突的问题,并且网络架构已经沿用良久,不便调整,当此时虚拟DMZ功能应运而生。在有组网设备存在IP地址端冲突且无法修改网段时,可通过将蒲公英硬件下挂组网设备的IP通过映射到蒲公英硬件虚拟网关的IP,直接采用虚拟IP方式组网相互通讯,即可解决异地硬件组网过程中网段冲突问题。
- 场景应用
- 监控场景
- 项目背景:
某集团业务拓展,分公司早期由于没有完善的监控体系规划,导致各地分公司网络监控各自为营。随着企业管理的规范化,现在需要把各地分公司网络监控这块回传总部进行管理,在过程中遇到了分公司各地IP管理混乱,早期设备监控无法上云等问题。
-
- 实施方案:
- 在蒲公英云管理平台创建组网,将各个软硬成员添加到组网中。
- 把第一个分公司的蒲公英G300 pro的虚拟IP通过云管理的虚拟DMZ绑定到下挂的NVR服务器。
- 把第二个分公司的蒲公英X5的虚拟IP通过云管理的虚拟DMZ绑定到下挂的NVR服务器。
- 总部需要访问分公司NVR直接请求蒲公英路由器虚拟IP实现相互通讯,完美解决关于组网硬件IP冲突问题。
- 方案价值:
- 在组网需求中常常因为网络早期规划使用默认192.168.*.*的网段而遇到多地网络设备IP冲突问题,通过虚拟DMZ即可将相同的物理IP映射成不同的组网虚拟IP,实现多地相同的物理IP设备互联互通。
- 物联网工控场景
- 项目背景:
传统的PLC设备终端运维和数据采集还是项目现场人员技术支持,随着智能制造业的业务升级,设备无法远程访问,数据无法远程传输采集等问题一直是制造企业的痛点,降本增效迫在眉睫。但碍于这些设备是IP早已设置,且几乎都采用相同IP进行生产作业,为了不影响业务运行又不好随意改动PLC的物理IP地址,而导致无法组网等难题。
-
- 实施方案:
- 在蒲公英云管理平台创建组网,将各个软硬成员添加到组网中。
- 把第一个分公司的蒲公英G300 pro的虚拟IP通过云管理的虚拟DMZ绑定到下挂的PLC。
- 把第二个分公司的蒲公英X5的虚拟IP通过云管理的虚拟DMZ绑定到下挂的PLC。
- 总部需要访问分公司PLC直接请求蒲公英路由器虚拟IP实现相互通讯,完美解决关于组网硬件IP冲突问题。
- 方案价值:
- 通过蒲公英智能组网的虚拟DMZ功能完美解决工控领域IP冲突等问题,帮助企业减少对网络管理人员的依赖,降低人工成本。同时,通过优化资源利用,还可以减少不必要的硬件投资和运营成本。
