Мы создаем новый набор веб-серверов для размещения в DMZ, но мы хотим, чтобы они могли использовать наш внутренний почтовый сервер. Почтовый сервер имеет CNAME smtp.uk.ourdomain.com - на наших существующих серверах есть запись для этого в файле hosts. Однако фактический почтовый сервер, стоящий за smtp ... CNAME, может периодически меняться для обслуживания, исправления и т.д., и в настоящее время, если мы хотим, чтобы веб-серверы не отставали от этого, мы вручную обновили файл hosts на каждом сервере.
Вместо записи в файле hosts мы хотим, чтобы наши новые серверы могли использовать DNS, чтобы они отправляли трафик только на CNAME smtp и позволяли DNS выполнять разрешение имен, однако мы думаем, что существует риск того, что, если наш веб-сервер будет захвачен, мы Затем мы открываем нашу внутреннюю сеть. Как лучше всего настроить эти серверы, чтобы они были безопасными, но могли разрешать имена нужных нам служб из внутренней сети?
Ваш HTTP-сервер должен иметь возможность маршрутизировать IP-трафик на ваши внутренние серверы, иначе он не сможет использовать его для службы ретрансляции SMTP.
Если между вашим HTTP-сервером и вашим почтовым сервером нет брандмауэра, то любой, кто скомпрометировал ваш HTTP-сервер, имеет возможность отправлять все виды сетевого трафика на ваш почтовый сервер. тем не мение. Если здесь является брандмауэр между HTTP-сервером и внутренней сетью, тогда вам просто нужно настроить этот брандмауэр, чтобы он только имеет отверстия правильной формы для DNS / TCP, для DNS / UDPи для ретрансляции SMTP.
Если вы не настроили свой внутренний DNS-сервер на трехсторонний сервис DNS "расщепленный горизонт", вместо двустороннего (внешнего или внутреннего), то информация о все доменные имена и IP-адреса вашей внутренней сети будут доступны вашему WWW серверу и, следовательно, любому, кто его скомпрометирует. Так что настройте такую трехстороннюю службу DNS с «разделенным горизонтом».
Конечно, все это означает, что далеко не все деВоенизированный, ваш WWW-сервер должен быть сильно военизирован, чтобы противостоять компромиссам. ☺
Трафик из Интернета внутрь менее безопасен, чем трафик из DMZ внутрь. У вас уже есть мир, подключенный к вашему внутреннему SMTP-серверу, так почему бы не разрешить DMZ то же самое?
Просто установите правила брандмауэра правильно, и все готово.