У нас есть почтовый шлюз, работающий в DMZ, который является ретранслятором для нашего внутреннего почтового сервера, на котором хранится вся почта. Мы столкнулись с необходимостью использовать DNS из DMZ для разрешения имен внутренних служб (таких как внутренний почтовый сервер и т. Д.).
Следует ли разрешить DNS-запросы из DMZ в LAN? В случае взлома некоторых серверов DMZ это приведет к серьезному нарушению. С другой стороны, запрет на запросы DNS делает нас менее гибкими.
Я познакомился с концепцией DNS с разделенным мозгом, которая, как я полагаю, решила бы проблему, но я не совсем понимаю, как это можно сделать в интегрированной среде Windows AD.
Завершить hosts
на сервере почтового шлюза с серверами, которые вы хотели бы разрешить с помощью DNS.
Итак, после долгого обсуждения мы остановились на использовании внутреннего сервера из DMZ. В конечном итоге это кажется намного более простым и гибким в управлении, учитывая компромиссы, на которые приходится идти; например. в любом случае разрешить связь из DMZ в LAN, это больше не кажется таким злом.
Спасибо всем за помощь!
В такой ситуации вам следует избегать создания зависимостей от интегрированных доменов AD за пределами зоны безопасности, которую они занимают. Без этого признака вы застряли, перенаправляя запросы в эту зону безопасности, и это заставляет сотрудников службы безопасности нервничать.
Если вы хотите избежать этой проблемы, вам нужно будет развернуть дополнительную авторитетную инфраструктуру DNS, которая отдельный из интегрированных доменов AD, а не в той же зоне безопасности, что и контроллеры домена. Для этого создайте новый домен с внутренней маршрутизацией. Рекурсорам DNS из других зон безопасности должно быть разрешено использовать данные с этих серверов, что сделает это новое пространство имен DNS доступным для всей вашей компании. (или хотя бы там, где вам это нужно)