我公司有一个人告诉我,我应该把FF:TMG放在我的主要面向Internet的防火墙(Cisco 5510)之间,并将我的Exchange服务器和DC放在内部networking上。
我有另一个人告诉我,我应该把Exchange服务器和DC在DMZ
我不是特别喜欢在DMZ中使用我的邮箱和DC的用户名/密码的想法,我认为Windows身份validation会要求我在DMZ和我的内部networking之间打开这么多的端口,这将是一个有争议的问题它反正在那里。
有什么想法? 你如何设置?
交换
这取决于您使用的Exchange版本。 如果您拥有Exchange 2007或2010,则在DMZ中定制一个angular色:边缘服务器。 将该服务器放在DMZ中,并在该服务器和专用networkingExchange Hub-Transport服务器之间configuration正确的端口。 如果你有Exchange 2000/2003,就InfoSec而言,没有一个好的解决scheme,你几乎不愿意打开SMTP(和TCP / 443,如果你使用OWA的话)到一个专门的机器上。
广告
再次,取决于您的Exchange版本。 如果你在2007/2010,边缘服务器被devise为没有任何实际的连接到一个实际的域控制器,所以绝对没有必要把一个DC在DMZ。 如果使用的是2000/2003版本,那么接收Internet邮件的服务器必须以某种方式进行域连接,这可能是DMZ中的DC(但不包括DMZ / Internet防火墙端口)或私有networking上的DC DMZ /专用防火墙策略允许通信的方式。
请记住,“DMZ”并不等同于“所有端口打开”,您只能打开DMZ / Internet和Private / DMZ防火墙所需的端口。 您可以在DMZ中保留一台Exchange 2000/2003服务器,并在私有/ DMZ防火墙中插入漏洞,以允许其与专用networking中的DC进行通信。 是的,这是让你的DC遭到黑客攻击的垫脚石,但如果真的担心升级到Exchange 2010,那么微软已经devise了一个更好的解决scheme。
每个人都会告诉你同样的事情 – 不要在DMZ上放置DC。 保持您的Exchange和所有DC在内部networking上,在防火墙/ FF:TMG后面保护。 就那么简单。
有一次,我的小组讨论了在DMZ中放置一个Forefront / ISAtypes的盒子,在进入内部networking之前,所有的入站stream量都将被放置。 我的目标是通过DMZ发布Exchange 2003,并在到达内部networking之前清除所有stream量,而无需更换我们的PIX或以其他方式进行重大基础架构更改。
这在我的testing环境中工作,只打开23和443进入DMZ,只有23和443进入内部networking。
微软将在DMZ中支持的唯一的Exchangeangular色是边缘传输angular色。 其他一切都必须在内部networking中。
而且,谁告诉你在DMZ中joinDC需要一些关于Active Directory和安全性的严肃的教育。 为了我们,几次把他甩在脸上。