我们正在build立一套新的networking服务器,放置在DMZ中,但我们希望他们能够使用我们的内部邮件服务器。 邮件服务器具有smtp.uk.ourdomain.com的CNAME – 我们现有的服务器在其hosts文件中有一个这样的条目。 然而,smtp … CNAME后面的实际邮件服务器可能会定期更改以进行维护,修补等。如果我们希望Web服务器跟上这一点,我们已经手动更新了每个服务器上的hosts文件。
我们希望我们的新服务器能够使用DNS,而不是主机文件条目,所以他们只能将stream量发送到smtp CNAME,并让DNS进行名称parsing,但是我们认为如果我们的Web服务器被宕机,然后暴露我们的内部networking。 什么是最好的方式来设置这些服务器,所以他们是安全的,但可以parsing我们需要从内部networking服务的名称?
从互联网到内部的stream量不如从DMZ到内部的stream量安全。 你已经连接到你的内部SMTP服务器的世界,为什么不让DMZ一样?
只要正确设置防火墙规则,你就可以走了。
您的HTTP服务器必须能够将IPstream量路由到您的内部服务器,否则将无法将其用于SMTP中继服务。
如果您的HTTP服务器和邮件服务器之间没有防火墙,那么任何侵入您的HTTP服务器的人都可以将各种networkingstream量发送到您的邮件服务器。 如果您的HTTP服务器和内部networking之间存在防火墙,那么您只需configuration该防火墙,以便DNS / TCP,DNS / UDP和SMTP Relay具有正确的形状。
除非您将内部DNS服务器configuration为具有三路“水平分割”DNS服务 ,而不是双向(外部与内部),则有关所有内部networking的域名和IP地址的信息将可用于您的WWW服务器,因此对任何妥协的人。 所以configuration这样的三路“水平分割”DNS服务。
当然,这一切意味着远没有军事化,你的WWW服务器必须严格军事化,才能抵制妥协。 ☺