請教各位前輩
現在公司環境使用中華電信線路
IP位址是60.X.X.151~156的範圍
目前只使用60.X.X.151的IP位址
經防火牆NAT轉換
進入公司Server網段192.168.0.X
而公司尚有其它網段
OA網段為192.168.1.X
DMZ網段為192.168.2.X
Server網段目前有
192.168.0.9的Exchange 2010 Mail Server主機兼對外DNS的角色
在防火牆設定NAT及ACL
將DNS,POP3,SMTP,HTTPS等Port導向192.168.0.9的Mail Server上
在公司外部就可以収發信件
現在在DMZ網段增加192.168.2.3的Mail Spam設備
讓進來的Mail先經過該設備過濾後再進到Exchange Mail Server
或是
讓寄出的Mail先經過該設備過濾後再往Internet的目標郵件網域送
想請問要達到上述目的的話
是否要再從中華電信所配發的IP位址中
使用一個真實IP位址,比方說60.X.X.152
來做NAT轉換到192.168.2.3的Mail Spam主機上呢?
而有關ACL調整的部分
由於已將對外DNS的角色遷移到Mail Spam主機上
那是否只要將DNS Port導向192.168.2.3的Mail Spam就好了
還是要連同POP3,SMTP,HTTPS等Port一同導向此Mail Spam主機呢
最後再修改對外DNS上的MX記錄指到這台Mail Spam主機就可以了
如果照上述的設定的話
防火牆上的ACL應該會有兩條Policy
60.X.X.151的POP3,SMTP,HTTPS導向到192.168.0.9
60.X.X.152的DNS,POP3,SMTP,HTTPS導向到192.168.2.3
這樣設定會有甚麼問題產生呢?
謝謝各位前輩
已邀請的邦友 {{ invite_list.length }}/5
看了這麼多,其實我認為原來MIS的觀念與架構才是對的~
MX Exchange 主機當然是要部屬在內部,Spam 放在DMZ區
DMZ區主要以不得不對外開通服務的主機,包含web/mail等公開服務port
如果MX Exchange 放過去,那不是等於全開,乾脆放一起LAN算了
所以hsuehlien ,你是對的,剩下的只是要設定好架構
因為舉例來說,web網站放在DMZ,但Database在內網LAN,這樣才會安全,僅允許DMZ的web有必要權限進行讀取database,即使web被攻,也不見得可以取得或修改 data
mail架構也是一樣 :spam承受外部的SMTP/POP3,上面沒有mail最終簽章,也沒帳號,攻擊也沒有郵件信箱給駭客取資料,MS EX也只接受spam主機來的smtp
內外DNS要區隔的,這樣會比較好
雖然我是Linux Base,但MS Exchange 在架構Mail實在說是太貴了
後續google 7/1後,Android 手機系統,都會移除對 exchange的同步
看來 MS系統,價值是越來越小了
如果要更安全,主機應該自己獨立一區不是更安全嗎?
畢竟一般電腦上網中木馬的機率應該比伺服器高吧!
我想把exchange 擺在dmz 區還比放在內網還安全多了.(就電腦的數目來說)
其實你想一下,
在有防火牆的前提下
在內部被攻擊還比被外部攻擊,成功的機率內部應該比較大.
因為在lan裡面,你會認為很安全(電腦很容易中木馬就被控制了),
結果是放在dmz區反而更安全,(至少可以擋住lan的攻擊)
所以基本上要把lan的主機用防火牆再隔開,然後再去規劃dmz區會比較有意義.
假設郵件網域和IP對應如下
a.com.tw<--->60.X.X.151
Mail Server...60.X.X.151
Mail Spam...60.X.X.152
如果我把Mail Server的smtp關閉
由Mail Spam對外做smtp
那我寄信的IP和郵件網域的IP不同
是否可能就會被列入黑名單
另外smtp是不是有分
內部對外部?
外部對內部?
假設把Mail Server部分的外部對內部的stmp關閉
那就不能在公司外部透過Mail Server寄信是嗎?
問題一開始就有提到了
防火牆共切了三個網段
Server網段(主機)192.168.0.X
OA網段為(LAN)192.168.1.X
DMZ網段為192.168.2.X
謝謝
網段是相通的,
如果沒有特別設定LAN TO LAN policy,
就跟路由器的功能是一樣的.
切網段還要做acl.
就我所知SPAM不是都在最前線嗎,這麼會分兩邊在跑有誤還請指導
iThome鐵人賽
看影片追技術