我公司的一位员工告诉我,我应该将 FF:TMG 放在面向 Internet 的主要防火墙(Cisco 5510)之间,并将 Exchange 服务器和 DC 放在内部网络上。
另一个人告诉我,我应该把 Exchange 服务器和 DC 放在 DMZ 中
我并不特别喜欢将我的邮箱和 DC 的用户名/密码放在 DMZ 中的想法,并且我认为 Windows 身份验证要求我在 DMZ 和我的内部网络之间打开很多端口,因此无论如何将它放在那里都是没有意义的。
有什么想法?您如何设置它?
答案1
交换
这取决于您使用的 Exchange 版本。如果您使用的是 Exchange 2007 或 2010,则有一个专门为 DMZ 中的角色:边缘服务器。将该服务器放入您的 DMZ 中,并在该服务器和您的专用网络 Exchange Hub-Transport 服务器之间配置正确的端口。如果您使用的是 Exchange 2000/2003,就 InfoSec 而言,没有好的解决方案,您几乎只能向域内机器开放 SMTP(如果您使用 OWA,则为 TCP/443)。
广告
同样,这取决于您的 Exchange 版本。如果您使用的是 2007/2010,则 Edge 服务器设计为无需与实际域控制器进行任何实时连接即可运行,因此完全没有必要将 DC 放在 DMZ 中。如果您使用的是 2000/2003,则接收 Internet 邮件的服务器必须以某种方式连接到域,可以是连接到 DMZ 中的 DC(但不打开 DMZ/Internet 防火墙端口),也可以是通过允许流量的 DMZ/私有防火墙策略连接到私有网络上的 DC。
请记住,“DMZ”并不等同于“所有端口都打开”,您可以只打开 DMZ/Internet 和 Private/DMZ 防火墙所需的端口。您可以将 Exchange 2000/2003 服务器保留在 DMZ 中,并在 Private/DMZ 防火墙上打洞,以允许它与私有网络中的 DC 进行通信。是的,这是让您的 DC 遭受黑客攻击的垫脚石,但如果您真的担心这一点,请升级到 Exchange 2010,因为 Microsoft 已经设计出更好的解决方案来解决这个问题。
答案2
每个人都会告诉你同一件事 - 永远不要将 DC 放在 DMZ 上。将您的 Exchange 和所有 DC 放在内部网络上,并受到防火墙/FF:TMG 的保护。就这么简单。
答案3
有一次,我的团队讨论将一个 Forefront / ISA 类型的盒子放入 DMZ,所有入站流量在被反弹到内部网络之前都会进入该盒子。我的目标是通过 DMZ 发布 Exchange 2003,并在所有流量到达我的内部网络之前对其进行清理,而无需更换我们的 PIX 或以其他方式进行重大基础设施更改。
这在我的测试环境中有效,仅打开 23 和 443 进入 DMZ,仅打开 23 和 443 进入内部网络。
答案4
Microsoft 在 DMZ 中支持的唯一 Exchange 角色是边缘传输角色。其他所有角色都必须在内部网络中。
另外,无论是谁告诉你把 DC 放在 DMZ 中,他都需要接受一些有关 Active Directory 和安全方面的认真培训。替我们扇他几巴掌吧。