У меня есть один парень в моей компании, который сказал мне, что я должен поместить FF: TMG между моим основным межсетевым экраном с выходом в Интернет (Cisco 5510) и поместить мой сервер Exchange и контроллер домена во внутреннюю сеть.
Другой парень говорит мне, что я должен поместить сервер Exchange и контроллер домена в DMZ
Мне не особенно нравится идея иметь мои почтовые ящики и имена пользователей / пароли DC в DMZ, и я думаю, что аутентификация Windows потребует от меня открытия такого количества портов между моей DMZ и моей внутренней сетью, что было бы спорным вопросом иметь в любом случае это там.
Какие мысли? Как вы это настроили?
Обмен
Это зависит от того, какую версию Exchange вы используете. Если у вас Exchange 2007 или 2010, есть роль, специально созданная для жизни в DMZ: пограничный сервер. Поместите этот сервер в DMZ и настройте правильные порты между этим сервером и транспортными серверами-концентраторами Exchange в частной сети. Если у вас есть Exchange 2000/2003, то для InfoSec нет хорошего решения, вы в значительной степени застряли при открытии SMTP (и TCP / 443, если вы используете OWA) на машине с доменом.
ОБЪЯВЛЕНИЕ
Опять же, это зависит от вашей версии Exchange. Если вы находитесь на 2007/2010, пограничный сервер предназначен для работы без какого-либо живого подключения к реальному контроллеру домена, поэтому нет абсолютно никакой необходимости помещать DC в DMZ. Если вы используете 2000/2003, сервер, получающий интернет-почту, должен быть каким-то образом подключен к домену, что может быть к DC в DMZ (но без открытых портов DMZ / Internet firewall) или к DC в частной сети посредством способ политики DMZ / Private firewall, разрешающей трафик.
Имейте в виду, что «DMZ» не означает «все порты открыты», вы можете открывать только те порты, которые вам нужны как для ваших DMZ / Internet, так и для частных / DMZ-брандмауэров. Вы можете держать сервер Exchange 2000/2003 в DMZ и проделывать дыры в вашем частном / DMZ брандмауэре, чтобы он мог связываться с DC в частной сети. Да, это ступенька к взлому вашего DC, но если это действительно беспокоит вас, обновитесь до Exchange 2010, где Microsoft разработала гораздо лучшее решение проблемы.
В какой-то момент моя команда обсуждала размещение блока типа Forefront / ISA в DMZ, на который будет попадать весь входящий трафик до того, как он попадет во внутреннюю сеть. Моей целью было опубликовать Exchange 2003 через DMZ и очистить весь трафик до того, как он достигнет моей внутренней сети, без необходимости заменять наш PIX или иным образом вносить серьезные изменения в инфраструктуру.
Это сработало в моей тестовой среде с открытием только 23 и 443 в DMZ и только 23 и 443 во внутреннюю сеть.
Все скажут вам одно и то же - никогда не помещайте DC в DMZ. Держите ваш Exchange и все контроллеры домена во внутренней сети под защитой вашего брандмауэра / FF: TMG. Просто как тот.
Единственная роль Exchange, которую Microsoft будет поддерживать в DMZ, - это роль пограничного транспорта. Все остальное должно быть во внутренней сети.
Кроме того, тот, кто сказал вам поместить DC в DMZ, нуждается в серьезном обучении Active Directory и безопасности. Пару раз похлопайте его за нас по лицу.