仮想 LAN (VLAN) を使用して CentOS サーバー ネットワークを保護する方法

仮想 LAN (VLAN) を使用して CentOS サーバーのネットワーク セキュリティを保護する方法

要約: 仮想 LAN (VLAN) は、物理ネットワークを複数の論理ネットワークに分割してネットワーク セキュリティを向上させるネットワーク セグメンテーション テクノロジです。 。この記事では、CentOS サーバーで VLAN を使用してネットワーク セキュリティを保護する方法を紹介し、いくつかのコード例を示します。

はじめに:
今日のネットワーク環境では、サーバーのネットワーク セキュリティを保護することが非常に重要です。仮想 LAN (VLAN) は、物理ネットワークを複数の論理ネットワークに分割してネットワークの分離とセグメント化を実現できる、一般的に使用されるネットワーク セキュリティ テクノロジです。この記事では、ネットワーク セキュリティを強化するために CentOS サーバーで VLAN を構成および使用する方法を紹介します。

1. VLAN の動作原理を理解する
仮想 LAN (VLAN) は、スイッチまたはルーターを通じて実装されます。異なるポートまたは物理インターフェイスを異なる VLAN に割り当てることで、ネットワークを複数の論理サブネットに分割します。異なる VLAN は分離されているため、直接通信することはできず、ルーターまたはレイヤー 3 スイッチを介してのみ相互接続できます。これにより、悪意のあるユーザーが特定の VLAN に入ったとしても、他の VLAN 内のサーバーやデバイスに直接アクセスできなくなり、ネットワークのセキュリティが向上します。

2. CentOS サーバーでの VLAN の構成
CentOS サーバーで VLAN を構成するには、次の手順が必要です:

1. ネットワーク カードが VLAN をサポートしていることを確認します:「ethtool」を使用します。ネットワークカードがVLAN機能をサポートしているかどうかをコマンドで確認します。

   ethtool -k eth0 | grep vlan

   「vlan offload: off」または同様の情報が表示された場合は、ネットワーク カードが VLAN をサポートしていないことを意味します。

2. VLAN ツールのインストール: ネットワーク カードが VLAN 機能をサポートしている場合は、「vlan」ツールをインストールする必要があります。

   yum install vconfig

3. VLAN インターフェイスの作成:「vconfig」コマンドを使用して、VLAN インターフェイスを作成します。

   vconfig add eth0 10

   このコマンドは、eth0 に ID 10 の VLAN インターフェイスを作成します。必要に応じて VLAN ID を変更できます。

4. VLAN インターフェイスの構成: /etc/sysconfig/network-scripts/ ディレクトリに、「ifcfg-eth0.10」という名前のファイルを作成し、そのファイルを編集して VLAN インターフェイスを構成します。 。

   vi /etc/sysconfig/network-scripts/ifcfg-eth0.10

   次の内容をファイルに追加します。

   DEVICE=eth0.10
   BOOTPROTO=none
   ONBOOT=yes
   IPADDR=192.168.10.10
   NETMASK=255.255.255.0

   実際のニーズに応じて IP アドレスとサブネット マスクを変更します。

5. ネットワーク サービスを再起動する: ネットワーク サービスを再起動して、構成を有効にします。

   systemctl restart network

上記の手順により、CentOS サーバー上に VLAN インターフェイスが正常に作成され、設定されました。

3. ファイアウォール ルールの設定
ネットワーク セキュリティをさらに強化するために、VLAN インターフェイスでファイアウォール ルールを設定できます。以下は、VLAN インターフェイス上の受信トラフィックと送信トラフィックを制限する単純なファイアウォール ルールの例です。

iptables -I INPUT -i eth0.10 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -I INPUT -i eth0.10 -j DROP
iptables -I OUTPUT -o eth0.10 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -I OUTPUT -o eth0.10 -j DROP

上記のルールは、VLAN インターフェイス上の新しい確立された関連接続のみの通過を許可し、他のすべてのトラフィックを拒否します。

4. アクセス制御とネットワーク分離
VLAN を使用することで、アクセス制御とネットワーク分離を実現できます。 VLAN インターフェースの IP アドレスとサブネットマスクを設定することで、複数のサーバーを異なる論理サブネットに分割し、ルーターやレイヤー 3 スイッチを介して異なるサブネット間のアクセス許可を制御できます。

次の簡単な例は、VLAN を使用してアクセス制御とネットワーク分離を実装する方法を示しています。

1. VLAN インターフェイス 1 の構成:

   vconfig add eth0 10
   ifconfig eth0.10 192.168.10.10 netmask 255.255.255.0

2. VLAN インターフェイス 2 の構成:

   vconfig add eth0 20
   ifconfig eth0.20 192.168.20.10 netmask 255.255.255.0

3. ルーターの構成:
   必要に応じてルータを設定して、異なる VLAN インターフェイスのトラフィックを相互接続し、アクセス コントロール リスト (ACL) を設定して、異なるサブネット間のアクセス許可を制御します。

上記の手順により、サーバーを 2 つの論理サブネットに分割し、VLAN とルーターによるアクセス制御とネットワーク分離を実装することができました。

結論:
仮想 LAN (VLAN) テクノロジーを使用すると、CentOS サーバーのネットワーク セキュリティを効果的に向上させることができます。物理ネットワークを複数の論理サブネットに分割することで、アクセス制御とネットワーク分離を実現し、ファイアウォール ルールを構成することでネットワークのセキュリティをさらに強化できます。この記事で説明されている構成例とコード例を使用すると、CentOS サーバー上で VLAN を正常に構成して使用し、ネットワークを保護することができます。

参考元:

1. VLANs Explained - How toimple VLANs - Practical Networking.
2. VLAN - ArchWiki.
3. CentOS - VLAN with subインターフェイス - サーバー障害.
4. VLANコマンドを使用してLinuxでVLANを構成する方法 - Lifewire.
5. CentOS - eth0のVLANタグ付けを構成する方法 - コードログ

以上が仮想 LAN (VLAN) を使用して CentOS サーバー ネットワークを保護する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。