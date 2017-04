Ahoj,



procitam si nejake materialy o ipv6 z duvodu mozneho nasazeni. Usnadnilo by to nektere veci, jine zase ne. Kazdopadne, zakladni otazka je - ma DMZ u ipv6 smysl? Proc se ptam. Mam frontend na verejne IPv4 v DMZ. Frontend vyzaduje pristup k databazi v rezimu zapisu. Cili replikace databaze jako read-only z interni site nema smysl. Takze bud se pak povoluje pristup z DMZ do interni site, nebo je databaze primo v DMZ. Databaze v DMZ je komplikaci pro interni sluzby (replikace, backup atd). A ted ten hacek navic. Firewall mezi DMZ/outside, DMZ/inside ma k dispozici jen urcity pocet 1Gbps portu. Interni sit ALE bezi na 10Gbps.



Takze mam asi takovehle moznosti:

1] nemit dmz - frontend ma outside i inside IP

2] mit dmz - frontend v dmz komunikuje s db v inside pres prechodovou sit (nemusi to byt NAT)

3] mit dmz - databaze je v dmz, veskere sluzby z inside musi jit pres firewall



Ten bod 1] je sice z hlediska rozlozeni zdroju nejlepsi, ale zase je to dost riziko. Navic, zaslechl jsem nazor, ze u ipv6 nema dmz smysl. Ze to spise resit 2xFW - zonovy (dmz,outside,inside) a lokalni (hm, lokalni mezi servery v interni siti, dost komplilkace). Co realne ted pouzivate, resp. jiz nema do budoucna smysl? Da se rici, ze se tu dost krizi vykon x bezpecnost.