none
Целесобразность связки из двух серверов ISA и DMZ между ними? RRS feed

  • Вопрос

  • Есть идея создать несколько усложненную схему

    на пограничном периметре TMG 2010 + DMZ   а LAN интерфейс напрямую соединить с

    WAN (вторго сервера) ISA 2006 и его LAN уже в живую локалку.

    в DMZ будет почтовик и публичный веб сервер

    Вопрос1:  Есть ли смысл так усложнять жизнь и не будет проблем с настройки серверов?

    Вопрос2:  Публикация Mail сервера на TMG имеет дополнительные возможности проверки и защиты почтового трафика на предмет почтовых атак из интернет? (в сравнению с возможностями ISA 2006)

     

    • Изменено Menhatep7 1 апреля 2010 г. 12:19
    1 апреля 2010 г. 11:56

Ответы

  • Такая схема, безусловно повышает защищённость серверов, расположенных в DMZ от вторжений из локальной сети. Поколдовать с настройками, переписать существующие правила, конечно, придётся, но разобраться что к чему, по моему скромному мнению можно.
    Если вероятность вторжения или атаки на сервисы серверов из локальной сети оцениваются как реально возможные - тогда это совершенно нормальный способ защиты серверов компании.
    MCSA
    1 апреля 2010 г. 12:10
  • Есть идея создать несколько усложненную схему

    на пограничном периметре TMG 2010 + DMZ   а LAN интерфейс напрямую соединить с

    WAN (вторго сервера) ISA 2006 и его LAN уже в живую локалку.

    в DMZ будет почтовик и публичный веб сервер

    Вопрос:  Есть ли смысл так усложнять жизнь и не будет проблем с настройки серверов?

    Думаю что особого смысла нет. В точности с тем же результатом, но меньшими затратами сил и средств, можно на единственный ISA/TMG поставить третий сетевой адаптер, подключить его в сеть DMZ и применить трехзвенный шаблон. Разумеется, его тоже нужно будет донастроить.
    1 апреля 2010 г. 12:23
  • почтовик в дмз вообще имеет смысл выносить только когда это внешний релей (edge transport e exchange).

    1 апреля 2010 г. 12:27
    Отвечающий

Все ответы

  • Такая схема, безусловно повышает защищённость серверов, расположенных в DMZ от вторжений из локальной сети. Поколдовать с настройками, переписать существующие правила, конечно, придётся, но разобраться что к чему, по моему скромному мнению можно.
    Если вероятность вторжения или атаки на сервисы серверов из локальной сети оцениваются как реально возможные - тогда это совершенно нормальный способ защиты серверов компании.
    MCSA
    1 апреля 2010 г. 12:10
  • Есть идея создать несколько усложненную схему

    на пограничном периметре TMG 2010 + DMZ   а LAN интерфейс напрямую соединить с

    WAN (вторго сервера) ISA 2006 и его LAN уже в живую локалку.

    в DMZ будет почтовик и публичный веб сервер

    Вопрос:  Есть ли смысл так усложнять жизнь и не будет проблем с настройки серверов?

    Думаю что особого смысла нет. В точности с тем же результатом, но меньшими затратами сил и средств, можно на единственный ISA/TMG поставить третий сетевой адаптер, подключить его в сеть DMZ и применить трехзвенный шаблон. Разумеется, его тоже нужно будет донастроить.
    1 апреля 2010 г. 12:23
  • почтовик в дмз вообще имеет смысл выносить только когда это внешний релей (edge transport e exchange).

    1 апреля 2010 г. 12:27
    Отвечающий
  • Если я правильно понял что достаточно одного TMG, веб сервера буду в DMZ а почтовик (M-Daemon) можно оставить в LAN

    Тут еще необходимо нескольким клиентам дать доступ из интернера к служебным почтовыи ящикам. возможно буду использовать VPN.

    Просьба еще уточнить по функции TMG проверки SMTP протокола. На сколько это работает?

     

     

    2 апреля 2010 г. 5:37
  • Тут еще необходимо нескольким клиентам дать доступ из интернера к служебным почтовыи ящикам. возможно буду использовать VPN.

    Непонятно зачем таки VPN. Для доступа к ящику достаточно POP/SMTP.

    Просьба еще уточнить по функции TMG проверки SMTP протокола. На сколько это работает?

    На уровне приложения. SMTP-фильтром. Работает.

    2 апреля 2010 г. 14:44