我们正在构建一组新的 Web 服务器,这些服务器位于 DMZ 中,但我们希望它们能够使用我们的内部邮件服务器。邮件服务器的 CNAME 为smtp.uk.ourdomain.com
- 我们现有的服务器在其主机文件中有一个条目。但是 smtp 背后的实际邮件服务器... CNAME 可能会定期更改,以进行维护、修补等,目前,如果我们希望 Web 服务器跟上这一变化,我们必须手动更新每台服务器上的主机文件。
我们希望我们的新服务器能够使用 DNS 而不是 hosts 文件条目,这样它们只会将流量发送到 smtp CNAME 并让 DNS 进行名称解析,但是我们认为如果我们的 Web 服务器被黑,那么我们的内部网络就会暴露,这是有风险的。设置这些服务器的最佳方式是什么,这样它们既安全又能从内部网络解析我们需要的服务的名称?
答案1
从互联网到内部的流量比从 DMZ 到内部的流量安全性更低。您已经让全世界连接到您的内部 SMTP 服务器,那么为什么不让 DMZ 也这样做呢?
只要正确设置防火墙规则,就可以了。
答案2
您的 HTTP 服务器必须能够将 IP 流量路由到您的内部服务器,否则它将无法将其用于 SMTP 中继服务。
如果您的 HTTP 服务器和邮件服务器之间没有防火墙,那么任何入侵了您的 HTTP 服务器的人都能够向您的邮件服务器发送各种网络流量反正。 如果有是HTTP 服务器和内部网络之间有防火墙,那么你只需要配置防火墙,这样它仅有的有正确形状的孔对于 DNS/TCP,对于 DNS/UDP以及用于 SMTP 中继。
除非你将内部 DNS 服务器配置为三向“水平分割” DNS 服务,而不是双向(外部与内部),那么关于所有的您的内部网络的域名和 IP 地址将对您的 WWW 服务器公开,因此任何入侵它的人都可以获取。因此请配置这种三向“水平分割”DNS 服务。
当然,这一切都意味着德军事化,你的 WWW 服务器必须高度军事化,以抵御攻击。☺