Один парень в моей компании говорит мне, что мне следует установить FF:TMG между моим основным межсетевым экраном, выходящим в Интернет (Cisco 5510), и разместить сервер Exchange и контроллер домена во внутренней сети.
Другой парень говорит мне, что мне следует поместить сервер Exchange и DC в DMZ.
Мне не особенно нравится идея размещения моих почтовых ящиков и имен пользователей/паролей DC в DMZ, и я думаю, что аутентификация Windows потребует от меня открытия такого количества портов между моей DMZ и моей внутренней сетью, что размещать ее там в любом случае будет спорным вопросом.
Какие есть мысли? Как у вас это настроено?
решение1
Обмен
Это зависит от используемой версии Exchange. Если у вас Exchange 2007 или 2010, есть роль, специально созданная для работы в DMZ: Edge Server. Поместите этот сервер в свою DMZ и настройте правильные порты между этим сервером и серверами Exchange Hub-Transport вашей частной сети. Если у вас Exchange 2000/2003, то хорошего решения с точки зрения InfoSec нет, вы практически застряли, открывая SMTP (и TCP/443, если вы используете OWA) для доменной машины.
ОБЪЯВЛЕНИЕ
Опять же, зависит от версии Exchange. Если у вас 2007/2010, Edge-сервер предназначен для работы без какого-либо живого соединения с реальным контроллером домена, поэтому нет никакой необходимости помещать DC в DMZ. Если у вас 2000/2003, сервер, который получает почту из Интернета, должен быть каким-то образом подключен к домену, что может быть связано с DC в DMZ (но без открытых портов DMZ/брандмауэра Интернета) или с DC в частной сети с помощью политики DMZ/частного брандмауэра, разрешающей трафик.
Помните, что "DMZ" не равнозначно "открытым всем портам", вы можете открыть только те порты, которые вам нужны для брандмауэров DMZ/Internet и Private/DMZ. Вы можете оставить сервер Exchange 2000/2003 в DMZ и проделать дыры в своем личном/DMZ брандмауэре, чтобы он мог взаимодействовать с контроллерами домена в частной сети. Да, это ступенька к взлому ваших контроллеров домена, но если это действительно беспокоит вас, обновитесь до Exchange 2010, где Microsoft разработала гораздо лучшее решение проблемы.
решение2
Все скажут вам одно и то же — никогда не размещайте DC в DMZ. Держите Exchange и все DC во внутренней сети, защищенные вашим брандмауэром/FF:TMG. Вот и все.
решение3
В какой-то момент моя команда обсуждала размещение блока типа Forefront / ISA в DMZ, куда будет попадать весь входящий трафик перед тем, как попасть во внутреннюю сеть. Моей целью было опубликовать Exchange 2003 через DMZ и очистить весь трафик до того, как он достигнет моей внутренней сети, без необходимости замены нашего PIX или иных серьезных изменений инфраструктуры.
Это сработало в моей тестовой среде, при этом были открыты только порты 23 и 443 для DMZ и только порты 23 и 443 для внутренней сети.
решение4
Единственная роль Exchange, которую Microsoft будет поддерживать в DMZ, — это роль Edge Transport. Все остальное должно быть во внутренней сети.
Кроме того, тот, кто сказал вам разместить DC в DMZ, нуждается в серьезной подготовке по Active Directory и безопасности. Дайте ему пару пощечин за нас.