我公司的一個人告訴我,我應該將 FF:TMG 放在我的主要面向互聯網的防火牆 (Cisco 5510) 之間,並將我的 Exchange 伺服器和 DC 放在內部網路上。
另一個人告訴我應該將 Exchange 伺服器和 DC 放在 DMZ 中
我不太喜歡將我的郵箱和 DC 的用戶名/密碼放在 DMZ 中,並且我認為 Windows 身份驗證需要我在 DMZ 和內部網路之間打開如此多的端口,因此這是一個沒有實際意義的問題無論如何,它就在那裡。
有哪些想法?你是如何設定的?
答案1
交換
這取決於您使用的 Exchange 版本。如果您有 Exchange 2007 或 2010,則有一個為 DMZ 中的生活而自訂的角色:邊緣伺服器。將該伺服器放入 DMZ 中,並在該伺服器與專用網路 Exchange 集線器傳輸伺服器之間配置正確的連接埠。如果您有 Exchange 2000/2003,就 InfoSec 而言沒有好的解決方案,您在向網域電腦開啟 SMTP(以及 TCP/443,如果您使用 OWA)時幾乎陷入困境。
廣告
同樣,取決於您的 Exchange 版本。如果您在 2007/2010 年,邊緣伺服器設計為無需與實際網域控制器進行任何即時連接即可運行,因此絕對不需要在 DMZ 中放置 DC。如果您使用的是2000/2003,則接收Internet 郵件的伺服器必須以某種方式進行網域連接,可以透過以下方式連接到DMZ 中的DC(但沒有開啟DMZ/Internet 防火牆連接埠)或連接到專用網路上的DC DMZ/專用防火牆策略允許流量的方式。
請記住,“DMZ”並不等於“所有連接埠都開啟”,您可以只開啟 DMZ/Internet 和專用/DMZ 防火牆所需的連接埠。您可以將 Exchange 2000/2003 伺服器保留在 DMZ 中,並在專用/DMZ 防火牆中打孔以允許其與專用網路中的 DC 進行通訊。是的,這是您的 DC 遭到駭客攻擊的墊腳石,但如果您真的擔心升級到 Exchange 2010,Microsoft 已經為該問題設計了更好的解決方案。
答案2
每個人都會告訴你同樣的事情 - 永遠不要將 DC 放在 DMZ 上。讓您的 Exchange 和所有 DC 位於內部網路上,並受到防火牆/FF:TMG 的保護。就那麼簡單。
答案3
有一次,我的團隊討論了在 DMZ 中放置一個 Forefront / ISA 類型的盒子,所有入站流量都會在反彈到內部網路之前到達該盒子。我的目標是透過 DMZ 發布 Exchange 2003,並在所有流量到達我的內部網路之前對其進行清理,而無需替換我們的 PIX 或以其他方式進行重大基礎結構變更。
這在我的測試環境中有效,僅將 23 和 443 打開到 DMZ,並且僅將 23 和 443 打開到內部網路。
答案4
Microsoft 在 DMZ 中支援的唯一 Exchange 角色是邊緣傳輸角色。其他一切都必須位於內部網路中。
此外,無論誰告訴您將 DC 放在 DMZ 中,都需要認真學習 Active Directory 和安全性。幫我們打他幾巴掌。