회사에 한 직원이 기본 인터넷 방화벽(Cisco 5510) 사이에 FF:TMG를 배치하고 Exchange 서버와 DC를 내부 네트워크에 배치해야 한다고 말합니다.
Exchange 서버와 DC를 DMZ에 배치해야 한다고 말하는 다른 사람이 있습니다.
저는 DMZ에 사서함과 DC의 사용자 이름/비밀번호를 두는 것이 특히 마음에 들지 않으며 Windows 인증을 위해서는 DMZ와 내부 네트워크 사이에 너무 많은 포트를 열어야 한다고 생각합니다. 어쨌든 거기에 있어요.
어떤 생각이 있습니까? 어떻게 설정하셨나요?
답변1
교환
사용 중인 Exchange 버전에 따라 다릅니다. Exchange 2007 또는 2010을 사용하는 경우 DMZ에 거주하도록 맞춤화된 역할인 Edge Server가 있습니다. 해당 서버를 DMZ에 배치하고 해당 서버와 개인 네트워크 Exchange 허브-전송 서버 사이에 올바른 포트를 구성하십시오. Exchange 2000/2003을 사용하는 경우 InfoSec에 관한 한 좋은 해결책이 없습니다. 도메인 컴퓨터에 SMTP(및 OWA를 사용하는 경우 TCP/443)를 여는 데 거의 어려움을 겪습니다.
기원 후
다시 말하지만 Exchange 버전에 따라 다릅니다. 2007/2010인 경우 Edge 서버는 실제 도메인 컨트롤러에 대한 라이브 연결 없이 작동하도록 설계되었으므로 DMZ에 DC를 배치할 필요가 전혀 없습니다. 2000/2003을 사용하는 경우 인터넷 메일을 수신하는 서버는 어떻게든 도메인에 연결되어야 합니다. 이는 DMZ의 DC(DMZ/인터넷 방화벽 포트가 열려 있지 않음) 또는 개인 네트워크의 DC에 연결될 수 있습니다. 트래픽을 허용하는 DMZ/개인 방화벽 정책 방식입니다.
"DMZ"는 "모든 포트 열기"와 동일하지 않으며 DMZ/인터넷 및 개인/DMZ 방화벽 모두에 필요한 포트만 열 수 있습니다. Exchange 2000/2003 서버를 DMZ에 유지하고 개인/DMZ 방화벽에 구멍을 뚫어 개인 네트워크의 DC와 통신할 수 있도록 할 수 있습니다. 예, 이는 DC 해킹을 위한 디딤돌입니다. 하지만 그것이 정말로 우려된다면 Microsoft가 문제에 대해 훨씬 더 나은 솔루션을 설계한 Exchange 2010으로 업그레이드하십시오.
답변2
모두가 똑같은 말을 할 것입니다. 절대로 DMZ에 DC를 설치하지 마십시오. Exchange와 모든 DC를 내부 네트워크에 유지하고 방화벽/FF:TMG로 보호하세요. 그렇게 간단합니다.
답변3
어느 시점에서 우리 팀은 모든 인바운드 트래픽이 내부 네트워크로 반송되기 전에 도달하는 DMZ에 Forefront/ISA 유형 상자를 배치하는 것에 대해 논의했습니다. 내 목표는 DMZ를 통해 Exchange 2003을 게시하고 PIX를 교체하거나 주요 인프라를 변경할 필요 없이 내부 네트워크에 도달하기 전에 모든 트래픽을 삭제하는 것이었습니다.
이는 DMZ에 23과 443만 열고 내부 네트워크에 23과 443만 여는 테스트 환경에서 작동했습니다.
답변4
Microsoft가 DMZ에서 지원하는 유일한 Exchange 역할은 Edge 전송 역할입니다. 다른 모든 것은 내부 네트워크에 있어야 합니다.
또한 DMZ에 DC를 설치하라고 말한 사람은 Active Directory 및 보안에 대한 진지한 교육이 필요합니다. 우리를 위해 그의 얼굴을 몇 번 때려주세요.