dear all sir
公司於海外據點 (china)有透過vpn連線使用台北mail server
目前我的作法是 將mail server 放置於 lan 所以ip 是192.168.x.x
如此可方便海外串vpn 回台北存取.
但廠商建議將 mail server 放在dmz 較為安全. 但如此我必須要將mail server改為實體對外ip. 如此的話 海外的user 透過vpn 該如何存取mail server
dns ? or ? 請提供建議給我 謝謝
ps 此台mail server 亦有 dns , web服務
依大大的描述堆測如下:
分公司的MAIL一律經VPN回到台北MAIL Server 再進行收送信.
優點: MAIL SPAM及MAIL LOG只在台北總部裝一套即可, 並可有效管制內容, 公司內部郵件亦由VPN保護, 重保密.
缺點: 因VPN加密, 網路LOADING較重, 且台北的單點故障會影响分公司的運作.
取捨方向: 保密重要, 且分公司數不要太多 (我以前的公司用這種方法)
分公司的MAIL SERVER直接對外(置於DMZ), 對總部一律視為對外郵件.
優點: 不會因為任一單點故障造成全部停線, 非VPN封包, 對網路LOADING也較輕, 未來新的分公司再加入, 一律視為單點處理, 單純.
缺點: 無加密封包對外, 各點的維護人員亦需有基本郵件管理能力, SPAM及LOG需各點自管, 成本較高, 若人員素質差, 更易發生資料外流事件.
取捨方向: 各點信件要穩定對外收送. 或分公司數太多(>10). (我現在的公司用這方法)
混合型: MAIL SERVER 的路由設二段, 若為公司內部郵件走VPN, 對外直接由各點自行出去(SERVER置於FW內設好NAT).
因方法二的保密性欠佳, 但各分公司有自己Domain, 在影响最小的狀況下, 我公司目前在以此方向修正中...
以上, 供參考.
補充一下: 大老闆們會比較在意郵件有沒有記錄, 因為有發生過利用郵件送出機密資料之情事. 故最後走向方法一的機會比較高.
我是認為因為有的點在大陸 所以 透過vpn 會比較穩定. 如果是放dmz 直接對外
有時候大陸那邊要收發信件會有不穩定的情況. 當然 當所有流量都走vpn , loading肯定會增加很多. 畢竟我vpn 不單只有郵件 還有視訊 跟voip , 故 目前使用於lan 但是仍對應實體ip.如此非大陸地區仍可使用domain 透過公網寄收郵件. 而大陸地區則還是透過vpn收發. 只是我想知道 有沒有放至於dmz 是否真的對安全性影響頗多~
大大說的是, 我現在就是在大陸的site, 三年多來至少發生四次異常阻斷問題, 而且ISP自己來查(中國電信及聯通都有)也不知什麼原因, 也是後來我們走VPN的原因之一. 其實, DMZ和不是DMZ, 差別在DMZ會用另一段IP; 防止駭客利用SERVER 開放的埠入侵後, 得知你所有內網IP段, 並進行破壞.
我的公司也是將 Mail Server 架設在 192.168.1.* 上,還有 WEB 及 DNS 等服務在上面,也和版主一樣透過 NAT 將對應的 25/53/80/110 等PORT 對應到外部去.
最近將兩地的網路串起VPN模式,使用 Sharetech LB-22** 的VPN, Mail 寄/收信就使用VPN的寄信(例如:寄上海分公司=abc.cn-->192.168.0.20)應可避免郵件的明碼傳遞被攔截看光.存取兩地資料,要用外部IP與192.168.1.*皆可.
至於安全性,我想再好的設計都可能有漏洞,還是盡量做好權限管控,作業系統與病毒碼更新比較實在.
因為vpn的頻寬很高貴,所以全使用vpn來收送郵件是蠻不划算的
站在安全性的考量上,經由網際的網路來存取當然是危險了點
1,如果需要安全又要省錢的話,可以請isp對mail服務做頻寬限流的設定
這樣一來還能保證自家vpn的頻寬,不至於全都被mail的流量給佔走
2,如果需要速度快,又加上可有雙重備援時。可以考慮將mail server設定對外,但是可以限制住可連入使用的ip網段,減少被其他來源的ip攻擊。
目前我們公司是二者都有做,但是因為寬頻寶貴
所以我們平常還是將大陸地區的使用者,設定為由internet收發信件
個人認為貴公司的廠商所建議的方式與前幾位的說法似乎不大相同,先不論依廠商的方式建置所須花費的設備費用問題(因為也不清楚貴公司目前的設備狀況),單純就我理解的架構來說明
首先先說明一下所謂的DMZ,DMZ一般翻譯為(非戰區),而依架構來說,你可以把他想成 WAN LAN DMZ 三個都是獨立的區塊,而三者是透過防火牆去做連結,其中只有WAN一定要是真實IP,而LAN跟DMZ都可以用private ip,可能您會想這樣跟你現在的架構有何不同,比較簡單的舉例,LAN一樣使用192.168.X.X 而DMZ可以使用10.1.1.X ,不知道你發現不一樣的地方了嗎
因為三區都是不同的ip區間,所以需要透過防火牆或路由器去轉換,自然你就可以去控管中間可通過的封包了
通常會使用DMZ的原因為,不希望LAN的使用者可直接連到SERVER(因為可能有users搞破壞或中毒的問題),但又不希望將SERVER直接對外,用此方法即可對中間可放行的通訊埠等做控管,若仍不清楚,可至網路上搜尋一下,建議先瞭解所謂DMZ的用途與架構,方能對貴公司的網路做更好的規劃
至於要使用DMZ的話,防火牆一定要有此功能才行,中階的產品應該都可以符合需求
我是建議你先對公司的需求做一份評估,若真有此需求再去尋找適當的產品,廠商不外乎想賺錢,當然這樣的方式安全性較好,但相對來講架構更複雜,發生問題時的處理也較難解決,而以廠商的立場是,這樣就可以再賣設備或賺安裝建置的費用了
希望對您有幫助
感謝您的回覆
"其中只有WAN一定要是真實IP,而LAN跟DMZ都可以用private ip"
大大這句話的意思是 如果我mailserver即使放在dmz. 一樣可以設置為內部ip嗎
此部份我有點不瞭解. 我設備為bm2000 看到的設置方式是可設置為DMZ_TRANSARENT ,NAT 這兩種.
allen1975提到:
我的公司也是將 Mail Server 架設在 192.168.1.* 上,還有 WEB 及 DNS 等服務在上面,也和版主一樣透過 NAT 將對應的 25/53/80/110 等PORT 對應到外部去.
最近將兩地的網路串起VPN模式,使用 Sharetech LB-22**...(恕刪)
此部分小弟補充一下
請於防火牆 WAN 介面設定 Port Mapping or IP Mapping
廠商建議將 Mail Server 放在 DMZ 較為安全,
應該是為了加強 Server的安全性(謎之音:順便做做業績 逃~~)
可是,版主的 Mail Server 和 DNS Server、Web Server放在一起,
這樣搬移網路區段的動作除了影響現有的網路架構,
相關的 Server Service 勢必得做相關的調整,
到時又是一段不為人知的辛酸血淚史......
如果可以加強 Server 安全性,又不需要變更網路架構,
二個願望一次滿足,應該是更加理想的方式吧!
建議:
添加透通式(Transparent)的防火牆,將內部 Server 的實體線路移到該防火牆之後。
如此一來,IP設定完全不需要變更,相關 Server 也就不需要調整,
Server 完全不需要關機, Service 中斷的時間也只有更換網路孔的短短數秒鐘,
管理人員不需要辛苦加班,使用者也幾乎沒有感覺 ^_^
最後,別忘了,要在防火牆裡要加上該有的管理政策(Rule Policy),
才能達到原先保護 Server 的目標。
如果不想花錢買防火牆,也可以改裝舊電腦代替:
[urlhttp://linux.vbird.org/somepaper/20070416-transparent_firewall.pdf]Linux Transparent Firewall架設完全攻略[/url]
感謝大大回應. 放dmz 也許是安全些 透過lan to dmz 或wan to dmz去控管 存取port 是廠商認為比較好得方式. 但廠商並不知道我還有海外地區vpn要處理.
如您所說通透式的方式. 應該還是將mail server使用實體ip (不知道有沒有說錯)
如此海外vpn 要連接該如何連接?
如您所說通透式的方式. 應該還是將mail server使用實體ip
看來,您誤解了透通式防火牆,don't worry
沒有您想像的複雜,很容易的。舉例說明吧:
假設你只有一台伺服器放在 LAN IP:192.168.0.1,IP 區段和一般 PC 相同,所有的 PC 都可以直接連接到 伺服器,即便有攻擊行為,也是要靠伺服器自己防禦。 PC <--> Server
安裝 透通式 防火牆之後,伺服器的 IP 還是 192.168.0.1,但是所有 LAN PC 和 伺服器的連線,都要經過 防火牆,換言之,伺服器已受到防火牆的保護。 PC <-- 透通式防火牆 --> Server
您可以這麼想像: 利用透通式防火牆,在 LAN 段 IP 切出 DMZ 區 。所以安全性和 獨立IP區段的 DMZ 是相同的,只是使用的IP段是是相同的。
如此海外vpn 要連接該如何連接?
因為 伺服器的 IP 不會變,所以相關服務都不需要調整。唯一要花功夫的,就是校調 那台透通式防火牆。
如果按照樓主的問題來找解決方案的話,其實蠻簡單的。只要利用ISA SERVER架设DMZ区域,然后将MAIL SERVER放置于DMZ区域,最后利用ISA SERVER将设VPN到DMZ路由应该就可以实现了.而且根据目前樓主將WEB SERVER,DNS SERVER架設在同一臺伺服器上,實在太不安全。強烈建議分開架設,並且利用ISA SERVER應用層防火牆,可以大大的防禦網路攻擊。
以上屬於個人觀點,(^O^)
我個人是覺得,大大要先釐清一下,
貴公司有沒有防火牆?是什麼品牌型號?
VPN架構是什麼(IPSEC/MPLS/IPLC?)是接內網還是接DMZ?
以上簡單的資料可先讓大家知道,這樣比較好提供給你後續相關的資訊.
另外,廠商說MAIL放在DMZ的建議各有利弊,這部份可自行爬文找一下就有了.
但以你的狀況來講還是建議放在LAN裡(192.168.X.X)
因為你有DNS相信AD也存在,如果放到DMZ區,LAN的人要去DMZ找AD及DNS也是個怪邏輯,
所以我個人是覺得放在LAN裡就好了.
至於在台灣及海外公司收信,反正VPN都架了,就以現有架構來收就好,如果在公司以外的地方要收信,你就在F/W上把相關的PORT設MAPPING出去就好了(這時如果知道F/W資料,就可提供更明確的資訊了)
樓上也有人提到一點,所以想提醒你一下,DNS,WEB,MAIL都放在同一台主機,
LOADING會重一點(因我不知你主機是什麼等級),如果你有AD且也放同一台的話,
這台主機一有狀況,USER都會受影響,相信公司對你的評價也會打折.
所以假設公司預算允許的話,建議再買一台主機來分擔,錢不多的話,
主機等級就不用太高,廉價SERVER就夠了,不要去買PC當SERVER操哦~~
以上是個人淺見
大大 非淺見也
彼此互相討論. 畢竟還是要看公司環境來選擇.
防火牆我是用友旺bm系列. 該有的功能都有.
目前我放置lan . 海內外存取透過vpn 是比較便利(vpn非使用防火牆內建,而是用mpls-vpn 專用廠商提供cisco) . 目前就是考量內部安全問題.去影響mail server. 否則我自己是認為目前這樣設置叫便利使用. 至於mailserver 本身是使用linux架設 主機效能足夠 且web單存 我想目前是還ok, 但有打算再多架設被援主機備用
小弟補充一下
DNS & AD 沒有直接關連,有 AD 一定有 DNS,但有 DNS(Linux)不一定有 AD(Windows)
一般完整的 DNS 架構,會建議區分 LAN & DMZ,LAN 對內,DMZ 對外,但除非公司規模 or 對資安要求較高,一般 對內 與 對外 之 DNS 都會在同一台,此時放在 LAN or DMZ(建議),沒太大差別