Где размещать Exchange Server в DMZ или LAN сети?
Описание в каком периметре сети лучше разворачивать роли Exchange Server
Что такое DMZ
В компьютерной безопасности DMZ или демилитаризованная зона (экранированная подсетью) является физической или логической подсетью.
Целью DMZ является добавление дополнительного уровня безопасности в локальную сеть (LAN) организации. Внешний сетевой узел может получить доступ только к тому, что находится в DMZ, в то время как остальная часть сети организации защищена брандмауэром.
DMZ функционирует как небольшая, изолированная сеть, расположенная между Интернетом и частной сетью. Данное решение эффективно, чтобы предоставить организации дополнительное время для обнаружения и устранения нарушений, прежде чем злоумышленники будут дальше проникать во внутренние сети организации.
Где размещать сервера Exchange?
При установке Exchange Server 2019 можно установить одну из двух ролей:
- Роль Mailbox (почтового ящика) сервера Exchange
- Роль Edge Transport (пограничного транспорта) сервера Exchange
Каждая роль Exchange функционирует для разных целей, будь то роль почтового ящика или роль пограничного транспорта, которая является необязательной ролью. Необходимо следовать лучшей практике, которая заключается в том, чтобы разместить:
- Сервера Exchange с ролью Mailbox в локальной сети (LAN)
- Сервера Exchange с ролью Edge Transport в сети DMZ
Обе роли сервера Exchange нуждаются в разных сетевых портах для работы почтового потока.
Роль Mailbox сервера Exchange в локальной сети
Microsoft рекомендует разместить роль Mailbox сервера Exchange в локальной сети, потому что сервер почтового ящика Exchange нуждается в связи с Active Directory (AD). Большая часть информации Exchange хранится в AD.
Если переместить сервер Exchange с ролью Mailbox в сеть DMZ, то сервер потеряет связь с контроллерами домена в частной локальной сети. В результате сервер почтового ящика Exchange не будет работать. Вместо этого держите сервер почтового ящика Exchange рядом с контроллерами домена в локальной сети.
Сетевые порты, необходимые для потока почты с серверами почтовых ящиков
| Цель | Порты | Источник | Направление |
|---|---|---|---|
| Входящая почта | 25/TCP (SMTP) | Интернет | Сервер Mailbox |
| Исходящая почта | 25/TCP (SMTP) | Сервер Mailbox | Интернет |
| Исходящая почта (если прокси через службу Front End Transport) |
25/TCP (SMTP) | Сервер Mailbox | Интернет |
| DNS-разрешение следующего почтового прыжка* |
53/UDP, 53/TCP (DNS) | Сервер Mailbox | DNS-сервер |
*DNS-разрешение следующего почтового прыжка является фундаментальной частью почтового потока в любой организации Exchange. Серверы Exchange, отвечающие за получение входящей почты или доставку исходящей почты, должны иметь возможность разрешать как внутренние, так и внешние имена хостов для правильной маршрутизации почты. И все внутренние серверы Exchange должны иметь возможность разрешать внутренние имена хостов для правильной маршрутизации почты. Существует множество различных способов проектирования инфраструктуры DNS, но важным результатом является обеспечение правильной работы разрешения имен для следующего хопа для всех серверов Exchange в организации.
Роль Edge Transport сервера Exchange в DMZ
Microsoft рекомендует разместить сервер Exchange Edge Transport в сети DMZ. Необходимо разместить его в сети периметра, которая находится за пределами внутреннего леса Active Directory организации.
Серверы Edge Transport почти всегда расположены в сети по периметру, поэтому необходимо ограничить сетевой трафик между сервером Edge Transport и Интернетом, а так же между сервером Edge Transport и внутренней организацией Exchange.
Сетевые порты, необходимые для потока почты с серверами Edge Transport
Важно открыть следующие порты, если в почтовой архитектуре имеется сервер Exchange с ролью Edge Transport.
| Цель | Порты | Источник | Направление |
|---|---|---|---|
| Входящая почта - Интернет-сервер с Edge Transport |
25/TCP (SMTP) | Интернет | Сервер с Edge Transport |
| Входящая почта - сервер Edge Transport для внутренней организации Exchange |
25/TCP (SMTP) | Сервер с Edge Transport |
Серверы Mailbox на подписанном сайте Active Directory |
| Исходящая почта - Внутренняя организация Exchange на сервер Edge Transport |
25/TCP (SMTP) | Серверы Mailbox на подписанном сайте Active Directory |
Сервер с Edge Transport |
| Исходящая почта - Edge Transport сервер в Интернет |
25/TCP (SMTP) | Сервер с Edge Transport |
Интернет |
| Синхронизация EdgeSync |
50636/TCP (безопасный LDAP) |
Серверы Malbox на подписанном сайте Active Directory, которые участвуют в синхронизации EdgeSync |
Сервер с Edge Transport |
| DNS-разрешение следующего почтового узла* |
53/UDP, 53/TCP (DNS) |
Сервер с Edge Transport |
DNS-сервер |
* DNS-разрешение следующего почтового узла является фундаментальной частью потока почты в любой организации Exchange. Серверы Exchange, отвечающие за прием входящей почты или доставку исходящей почты, должны иметь возможность разрешать как внутренние, так и внешние имена хостов для правильной маршрутизации почты. И все внутренние серверы Exchange должны иметь возможность разрешать внутренние имена хостов для правильной маршрутизации почты. Существует множество различных способов проектирования инфраструктуры DNS, но важным результатом является обеспечение правильной работы разрешения имен для следующего перехода на серверах Exchange в организации.