我有 5 个静态 IP 块,并将在现场运行 Exchange 和 Web 服务器。我想知道是否应该将 Web 服务器 IP、邮件 IP 和内部网络 IP 分开。分离内部和外部网络的最佳实践是什么?
服务器将位于 DMZ 中并位于我们的防火墙后面。
答案1
我会将所有这些服务分开。这样会以不同的方式更加安全:
- 一台机器故障不会关闭所有服务
- 一台机器被入侵并不会关闭你的服务
我不明白您说的内部 IP 是什么意思?它是指 NAT 吗?如果是这样,您确实也应该将其分开。
还要注意根据服务制定防火墙规则。始终使用白名单而不是黑名单。如果一项服务不需要看到另一项服务,则阻止它。
答案2
最佳实践中的最佳做法(另见:最偏执)是为每个功能使用单独的 DMZ。就您而言,Web 服务器将使用单独的 DMZ,Exchange 基础架构将使用另一个 DMZ。每个设备只能看到有限的内部网络视图,而且重要的是,它们也无法看到其他 DMZ 设备。