我过去在这里看到过一些与 DMZ 相关的问题,但想问一个与电子邮件直接相关的问题。我对此做了一些研究,但想问问论坛的意见。
我知道最好的做法是不要让任何东西直接从外部访问您的 LAN,但我已经看到外部托管电子邮件直接发送到 LAN 到内部邮件服务器的实现。我的直觉告诉我这是错误的,但是放置外部负载平衡器或反向代理服务器如何增加额外的安全性?是因为它正在切断连接并从 DMZ 的这些系统中重新启动它吗?我在理解为什么这会更安全时遇到问题,即使我对它的发生感到更舒服。是否应该过滤这里发生的请求?
另外,我知道 DMZ 和 LAN 永远不应该说话(理论上),但是内部资源应该如何访问外部邮件?我已经读过,如果有一个单独的邮件 DMZ 会更安全,并且 LAN 用户应该只能访问 DMZ,而不是 DMZ 进入 LAN。
理论是到 DMZ 的流量必须是入站的。在这种情况下,如果 DMZ 主机发生了不好的事情,攻击就会包含在 DMZ 中。
这意味着来自 LAN 的连接必须在 LAN 中启动,这通常意味着某种推送(到 DMZ)或拉(从 DMZ)操作。这对于邮件是可行的,但有时对于其他服务是不切实际的。
在这种情况下,DMZ 通常被视为“薄层”,理论上更健壮(因为它更轻),因此可能不太容易出现漏洞(和黑客攻击)。
当您从不应直接访问的庞大服务中获取实际数据时尤其如此。这个额外的层还允许您“破坏协议”(正如您所提到的),这意味着在目标主机上成功的攻击将无法在暴露的主机上进行(因为架构更改会停止有效负载第一层(不易受到该攻击))。
DMZ 的电子邮件安全有两个方面:
SMTP 传输需要 AV 扫描,并且通常需要 DNS 查找、病毒沙箱等。如果 SMTP 处理外包给 Google、Microsoft、Proofpoint,那么我认为允许它直接中继没有问题,因为第 3 方是外包的 DMZ .
对于客户端连接,我见过的大多数负载均衡器都要求目标 POP3、IMAP、HTTP、RPC/HTTPS 与负载均衡器接口位于同一子网中。此外,分析可能会受到影响,具体取决于负载均衡器是否是每个服务器的网关/路由器(服务器将看到 GatewayIP 而不是客户端 IP)。
我只能谈论微软的实施,因为那是我的专长。Microsoft 不支持在前端和后端服务器之间放置防火墙。他们曾经在 2003 年及更早的时候使用过,但现在情况已不再如此。
我的建议是在 DMZ 中安装 Microsoft Office Server 以进行电子邮件数据的 Web 呈现,并在 LAN 中的 Exchange 服务器上关闭 WebReady处理。
Web Ready 文档是我认为 Microsoft 平台上存在的唯一风险