bls*_*ub6 2 security exchange active-directory dmz microsoft-forefront
我公司的一个人告诉我,我应该将 FF:TMG 放在面向 Internet 的主要防火墙(Cisco 5510)之间,并将我的 Exchange 服务器和 DC 放在内部网络上。
我有另一个人告诉我应该将 Exchange 服务器和 DC 放在 DMZ 中
我不太喜欢将我的邮箱和 DC 的用户名/密码放在 DMZ 中的想法,我认为 Windows 身份验证需要我在 DMZ 和内部网络之间打开如此多的端口,这将是一个没有实际意义的点它在那里反正。
有哪些想法?你是怎么设置的?
交换
这取决于您使用的 Exchange 版本。如果您有 Exchange 2007 或 2010,则有一个为生活在 DMZ 中而定制的角色:边缘服务器。将该服务器放在您的 DMZ 中,并在该服务器和您的专用网络 Exchange 集线器传输服务器之间配置正确的端口。如果您有 Exchange 2000/2003,就 InfoSec 而言,没有好的解决方案,您几乎无法将 SMTP(如果您使用 OWA,则为 TCP/443)打开到域计算机。
广告
同样,取决于您的 Exchange 版本。如果您在 2007/2010 年,边缘服务器旨在在没有任何实际域控制器实时连接的情况下运行,因此绝对不需要在 DMZ 中放置 DC。如果您使用的是 2000/2003,则接收 Internet 邮件的服务器必须以某种方式连接到域,这可以连接到 DMZ 中的 DC(但没有打开 DMZ/Internet 防火墙端口)或通过以下方式连接到专用网络上的 DC允许流量的 DMZ/私有防火墙策略的方式。
请记住,“DMZ”并不等同于“打开所有端口”,您可以只打开 DMZ/Internet 和私有/DMZ 防火墙所需的端口。您可以在 DMZ 中保留 Exchange 2000/2003 服务器,并在您的私有/DMZ 防火墙中设置漏洞,以允许它与私有网络中的 DC 通信。是的,这是让您的 DC 被黑客入侵的垫脚石,但如果您真的担心升级到 Exchange 2010,Microsoft 已经设计了一个更好的问题解决方案。