none
OWA架構問題 RRS feed

  • 問題

  •  

     
    各位老師好

    請問一個問題

    我們公司目前的架構是

    網際網路<->防火牆<->掃垃圾信主機(DMZ區)<->Exchange 主機(內部主機區)

    DMZ區與內部主機區,想當然IP是不一樣的,
    現行是>Exchange 2000,那時要讓外部存取OWA,就直接透過防火牆設定>Exchange 2000內部IP NAT外部一個PUBLIC IP,但這樣的方式似乎等於讓外部直接可存取Exchange 2000,感覺也失去DMZ區的意義

    現在我們將升級exchange 2007,想請問各位老師,依以上的架構,在不增加其它設備的狀況下,要如何將OWA publish到外部(intetnet)呢?

    (還是直接透過防火牆做NAT最快?)
    謝謝





    2009年2月25日 上午 09:13

解答

  • cocovo 表示:

     

     
    各位老師好

    請問一個問題

    我們公司目前的架構是

    網際網路<->防火牆<->掃垃圾信主機(DMZ區)<->Exchange 主機(內部主機區)

    DMZ區與內部主機區,想當然IP是不一樣的,
    現行是>Exchange 2000,那時要讓外部存取OWA,就直接透過防火牆設定>Exchange 2000內部IP NAT外部一個PUBLIC IP,但這樣的方式似乎等於讓外部直接可存取Exchange 2000,感覺也失去DMZ區的意義

    現在我們將升級exchange 2007,想請問各位老師,依以上的架構,在不增加其它設備的狀況下,要如何將OWA publish到外部(intetnet)呢?

    (還是直接透過防火牆做NAT最快?)
    謝謝







    這是一種迷思吧!並沒有規定說有了DMZ區的架構其網路才是比較安全的說法或規定吧~
    DMZ本來的設計用途就是用來當做最外圍的防火牆被攻破後的緩衝區(止戰),所以這意謂者此區是最危險的,
    所以放置在此區的Server應該不是太重要且沒有機密相關性的資料。
    因此,直接使用一般最基本的NAT MAP 內部IP的方式發佈不一定就不安全,
    重點在於您防火牆本身是不是夠安全以及是不是可以針對應用層做一些過濾篩選
    如果你想要更安全的發佈您的Exchange server 2007,建議您可以搭配使用ISA Server 2006
    Jammy羅濟棠 https://partner.microsoft.com/taiwan/40014662 您的公司是微軟解決方案的提供者嗎?請加入Microsoft Partner Program(MSPP)計劃, 立即獲得無限次數微軟Partner專屬線上技術支援。
    • 已標示為解答 Jammy-Lo 2009年3月3日 上午 08:08
    2009年2月25日 下午 05:06

所有回覆

  • 若沒記錯的話
    你應該在DMZ設一個對應到Exchange內部IP的DMZ IP,然後再在Untrust那邊設一個外部IP對應到DMZ那個IP...但其實不太確定這樣做會不會比較安全。

    一般來說,Exchange前端應該要有個Mail Gateway,可以是Front End Exchange,也可以是3rd party的設備(若你的掃垃圾信主機有這樣的功能的話),然後Mail Gateway放在DMZ,並Publish Mail Gateway 的外部IP。

    以上是以前在前公司的架構,希望對你有幫助!

    若有說錯的地方 也請老師們多多指點。
    2009年2月25日 上午 09:35
  • cocovo 表示:

     

     
    各位老師好

    請問一個問題

    我們公司目前的架構是

    網際網路<->防火牆<->掃垃圾信主機(DMZ區)<->Exchange 主機(內部主機區)

    DMZ區與內部主機區,想當然IP是不一樣的,
    現行是>Exchange 2000,那時要讓外部存取OWA,就直接透過防火牆設定>Exchange 2000內部IP NAT外部一個PUBLIC IP,但這樣的方式似乎等於讓外部直接可存取Exchange 2000,感覺也失去DMZ區的意義

    現在我們將升級exchange 2007,想請問各位老師,依以上的架構,在不增加其它設備的狀況下,要如何將OWA publish到外部(intetnet)呢?

    (還是直接透過防火牆做NAT最快?)
    謝謝







    這是一種迷思吧!並沒有規定說有了DMZ區的架構其網路才是比較安全的說法或規定吧~
    DMZ本來的設計用途就是用來當做最外圍的防火牆被攻破後的緩衝區(止戰),所以這意謂者此區是最危險的,
    所以放置在此區的Server應該不是太重要且沒有機密相關性的資料。
    因此,直接使用一般最基本的NAT MAP 內部IP的方式發佈不一定就不安全,
    重點在於您防火牆本身是不是夠安全以及是不是可以針對應用層做一些過濾篩選
    如果你想要更安全的發佈您的Exchange server 2007,建議您可以搭配使用ISA Server 2006
    Jammy羅濟棠 https://partner.microsoft.com/taiwan/40014662 您的公司是微軟解決方案的提供者嗎?請加入Microsoft Partner Program(MSPP)計劃, 立即獲得無限次數微軟Partner專屬線上技術支援。
    • 已標示為解答 Jammy-Lo 2009年3月3日 上午 08:08
    2009年2月25日 下午 05:06