在为预算有限的相对较小的办公室(15-20 个用户)设计和设置 DMZ 时,有哪些重要考虑因素?跨 DMZ 的网络流量将是入站 smtp(ms exchange)、入站 http/s(owa)、出站互联网流量。
答案1
根据您给出的要求,您不需要真正的 DMZ。前端 Exchange Server(用于运行 OWA)在技术上必须位于域中,这意味着它实际上必须位于专用网络上。而且您必须打开的端口数量使得您无法考虑其他任何事情。Microsoft 的解决方案是使用 ISA 作为 OWA 服务器前面的软件/应用程序防火墙和堡垒主机。此外,使用它来引导 SMTP 流量。
我承认我不是 ISA Server 的忠实粉丝。我更喜欢包含 SSL 终止功能的硬件解决方案,例如 F5 BigIP 或类似产品。但是,它可能才是适合您的解决方案。否则,您仍然需要确保您拥有一个像 Cisco 或 SonicWall 这样的优质、业界认可的硬件防火墙解决方案。了解各种型号的功能。您的经销商应该能够最好地帮助您确定最适合您需求的解决方案。
答案2
首先要考虑的是您是否需要 DMZ,对于只需要少量服务的小型办公室来说,将所需的端口转发到内部网络是否更简单、更安全?