私の会社には、インターネットに面したメインのファイアウォール (Cisco 5510) の間に FF:TMG を配置し、Exchange サーバーと DC を内部ネットワークに配置するべきだと言っている人がいます。
ExchangeサーバーとDCをDMZに置くべきだと言っている人もいます
私はメールボックスと DC のユーザー名/パスワードを DMZ に置くという考えがあまり好きではありません。また、Windows 認証では DMZ と内部ネットワークの間に非常に多くのポートを開く必要があるため、DMZ に置くのはそもそも意味がないと思います。
何かご意見はありますか? どのように設定していますか?
答え1
交換
使用している Exchange のバージョンによって異なります。Exchange 2007 または 2010 を使用している場合は、DMZ 内で動作するようにカスタマイズされた役割、つまりエッジ サーバーがあります。そのサーバーを DMZ に配置し、そのサーバーとプライベート ネットワークの Exchange ハブ トランスポート サーバー間の正しいポートを構成します。Exchange 2000/2003 を使用している場合は、InfoSec に関する限り適切なソリューションはなく、ドメイン マシンに対して SMTP (および OWA を使用している場合は TCP/443) を開くしかありません。
広告
これも、Exchange のバージョンによって異なります。2007/2010 を使用している場合、エッジ サーバーは実際のドメイン コントローラーへのライブ接続なしで動作するように設計されているため、DC を DMZ に配置する必要はまったくありません。2000/2003 を使用している場合、インターネット メールを受信するサーバーは、何らかの方法でドメイン接続する必要があります。これは、DMZ 内の DC (ただし、DMZ/インターネット ファイアウォール ポートは開いていない) またはトラフィックを許可する DMZ/プライベート ファイアウォール ポリシーを介してプライベート ネットワーク上の DC に接続できます。
「DMZ」は「すべてのポートが開いている」という意味ではないことに注意してください。DMZ/インターネット ファイアウォールとプライベート/DMZ ファイアウォールの両方に必要なポートだけを開くことができます。Exchange 2000/2003 サーバーを DMZ に置き、プライベート/DMZ ファイアウォールに穴を開けて、プライベート ネットワーク内の DC と通信できるようにすることができます。確かに、これは DC がハッキングされる足がかりになりますが、それが本当に心配な場合は、Microsoft が問題に対するより優れたソリューションを設計した Exchange 2010 にアップグレードしてください。
答え2
誰もが同じことを言うでしょう。DC を DMZ に置かないでください。Exchange とすべての DC を内部ネットワーク上に置き、ファイアウォール/FF:TMG の背後で保護します。とても簡単です。
答え3
ある時点で、私のチームは、すべての受信トラフィックが内部ネットワークにバウンスされる前に到着する Forefront / ISA タイプのボックスを DMZ に配置することを検討しました。私の目標は、Exchange 2003 を DMZ 経由で公開し、PIX を交換したり、インフラストラクチャの大幅な変更を加えたりすることなく、トラフィックが内部ネットワークに到達する前にすべてのトラフィックをサニタイズすることでした。
これは、DMZ に 23 と 443 のみ、内部ネットワークに 23 と 443 のみを開いたテスト環境では機能しました。
答え4
Microsoft が DMZ でサポートする唯一の Exchange の役割は、エッジ トランスポートの役割です。その他はすべて内部ネットワーク内にある必要があります。
また、DC を DMZ に配置するように言った人は、Active Directory とセキュリティについて真剣に学ぶ必要があります。私たちのために、その人の顔を何回か叩いてやりましょう。