Назад | Перейти на главную страницу

Разрешить внутренний DNS-запрос из DMZ?

У нас есть почтовый шлюз, работающий в DMZ, который является ретранслятором для нашего внутреннего почтового сервера, на котором хранится вся почта. Мы столкнулись с необходимостью использовать DNS из DMZ для разрешения имен внутренних служб (таких как внутренний почтовый сервер и т. Д.).

Следует ли разрешить DNS-запросы из DMZ в LAN? В случае взлома некоторых серверов DMZ это приведет к серьезному нарушению. С другой стороны, запрет на запросы DNS делает нас менее гибкими.

Я познакомился с концепцией DNS с разделенным мозгом, которая, как я полагаю, решила бы проблему, но я не совсем понимаю, как это можно сделать в интегрированной среде Windows AD.

Завершить hosts на сервере почтового шлюза с серверами, которые вы хотели бы разрешить с помощью DNS.

Итак, после долгого обсуждения мы остановились на использовании внутреннего сервера из DMZ. В конечном итоге это кажется намного более простым и гибким в управлении, учитывая компромиссы, на которые приходится идти; например. в любом случае разрешить связь из DMZ в LAN, это больше не кажется таким злом.

Спасибо всем за помощь!

В такой ситуации вам следует избегать создания зависимостей от интегрированных доменов AD за пределами зоны безопасности, которую они занимают. Без этого признака вы застряли, перенаправляя запросы в эту зону безопасности, и это заставляет сотрудников службы безопасности нервничать.

Если вы хотите избежать этой проблемы, вам нужно будет развернуть дополнительную авторитетную инфраструктуру DNS, которая отдельный из интегрированных доменов AD, а не в той же зоне безопасности, что и контроллеры домена. Для этого создайте новый домен с внутренней маршрутизацией. Рекурсорам DNS из других зон безопасности должно быть разрешено использовать данные с этих серверов, что сделает это новое пространство имен DNS доступным для всей вашей компании. (или хотя бы там, где вам это нужно)