Exchange 2007 배포에 대한 설명서를 읽고 있는데 한 섹션에서 의아해하는 부분이 있습니다. 저는 Edge 역할을 DMZ의 도메인이 아닌 자체 시스템에 배치하고 나머지 역할은 DMZ의 다른 시스템에 배치하려고 했습니다. 엣지 역할은 메일 전달을 위해 필요한 포트만 열어두고 동일한 네트워크 세그먼트에 있기 때문에 다른 역할을 호스팅하는 백엔드 서버에 액세스할 수 있을 것이라고 생각했습니다. 백엔드 서버는 CAS 역할(다른 기능 중에서)을 실행하여 방화벽을 통해 OWA 및 Exchange Activesync를 제공합니다. DMZ에서 내부 사설 네트워크로 열려 있는 유일한 포트는 백엔드 서버의 AD 인증에 필요한 포트입니다.
문제는 내가 읽고 있는 모든 내용에 설명된 대로 에지 역할이 DMZ에 있어야 한다고 나와 있지만 나머지 역할은 DMZ가 아니라 개인 LAN에 있어야 한다는 사실에서 비롯됩니다. 계속해서 OWA와 Exchange ActiveSync는 ISA를 통해 게시되거나 인터넷에 직접 노출되어야 한다고 말합니다. 저는 ISA 서버가 없거나 특별히 원하지 않으며, 개인 LAN에 있는 서버를 인터넷에 직접 노출시키는 것은 직관에 어긋나는 것 같습니다.
내가 이것을 잘못 읽고 있는 걸까? 계획대로 백엔드 서버를 DMZ에 배치하고 끝내야 할까요?
답변1
Microsoft가 ISA를 사용하여 OWA를 인터넷에 게시하도록 권장하는 이유는 LAN의 서버를 인터넷(적어도 계층 3)에 직접 노출시키는 "직관에 반하는" 느낌을 극복하기 위한 것입니다.
LAN에 있는 컴퓨터의 모든 Outlook 클라이언트 트래픽에 방화벽 장치를 노출하고 싶지 않은 경우에는 다른 Exchange 역할을 호스팅하는 백엔드 서버를 DMZ에 넣지 않을 것입니다.
레이어 3에서 OWA 및 ActiveSync를 호스팅하는 서버를 노출하는 것이 불편하다면 오픈 소스 HTTP 프록시를 가져와서 인터넷과 LAN 사이에 배치하여 HTTP를 OWA로 프록시하도록 하십시오.
답변2
규모와 요구 사항에 따라 엣지 역할을 건너뛰고 타사 바이러스/스팸 필터(appriver, postini 등)를 사용할 수도 있습니다. 그것이 우리에게 필요한 유일한 Edge 기능이었기 때문에 우리는 그 길을 택했고, 나 역시 ISA 서버를 특별히 사용하고 싶지 않았습니다.