Назад | Перейти на главную страницу

Соображения по поводу устройства / программного обеспечения безопасности в DMZ

Что необходимо учитывать при проектировании и настройке DMZ для относительно небольшого офиса (15-20 пользователей) с ограниченным бюджетом? Сетевой трафик через dmz будет входящим smtp (обмен ms), входящим http / s (owa), исходящим интернет-трафиком.

Исходя из поставленных вами требований, вам не нужна настоящая DMZ. Внешний сервер Exchange Server (для запуска OWA) технически должен находиться в домене, а это означает, что на самом деле он должен находиться в частной сети. А количество портов, которые вы должны открыть, не позволяет рассматривать что-либо еще. Решение Microsoft состоит в том, чтобы использовать ISA в качестве брандмауэра программного обеспечения / приложения и хоста-бастиона перед сервером OWA. Кроме того, чтобы использовать его для направления SMTP-трафика.

Признаюсь, я не большой поклонник ISA Server. Я предпочитаю аппаратное решение, которое будет включать в себя функцию завершения SSL, например F5 BigIP или подобное. Однако это может быть правильным решением для вас. В противном случае вы все равно захотите убедиться, что у вас есть достойное, признанное в отрасли решение аппаратного брандмауэра, например от Cisco или SonicWall. Узнайте о возможностях различных моделей. Ваш торговый посредник должен быть в состоянии помочь вам определить, что вам нужно.

Первое, что нужно учитывать, - нужна ли вам DMZ вообще, для небольшого офиса, где требуется всего несколько услуг, было бы проще и безопаснее перенаправить порты, которые вам нужны, во внутреннюю сеть?