一个安全的网络应该在
Internet
与内部的邮件服务器之间架设一台
SMTP Relay(
中继站
)
,来避免外部直接现内部的邮件服务器沟通。现将通过背对背防火墙来实现
SMTP Relay
和邮件服务器的发布步骤讲述如下
一、拓扑图如下
二、配置前端防火墙
1. 在路由表中添加路由
因为当前端防火墙收到送住内部网络的数据包时,应该将数据包传给后端防火墙的DMZ网卡,再由其送至内部网络,然而因为前端防火墙指向的是出口路由的IP,所以这些数据包会发送给出口路由。为了让前端防火墙能够将这些数据包发送后端防火墙的DMZ网卡,我们需要添加路由表
2. 配置内部网络
内部网络应该包括后端防火墙的内部网络和和DMZ区(因添加路由表,所以会自动包括)
同时我们希望同internet访问的网络规则仍旧包括NAT不变
三、配置后端防火墙
1. 配置内部网络
内部网络应该包括后端防火墙的内部网络
网络规则将Internet访问修改为“路由”
四、AD建立
1. 配置好内部网络的DC、DNS、EXCHANGE我都在一台计算机上已经配置好
2. 将DMZ区的SMTP Relay这台计算机加入域
l
首先新建计算机对象,包括SMTP Relay和DC两个对象
同样的方法建立DC的计算机对象
l
通过建立访问规则开放如下协议,以便DMZ区的SMTP Relay这台计算机加入内部网络的域中
DNS、Kerberos-Adm(UDP)、Kerberos-Sec (TCP)、Kerberos-Sec(UDP)、LDAP、LDAP(UDP)、LDAP GC(全局编录)、Microsoft CIFS(TCP)、NTP(UDP)、RPC(所有界面)
l
在SMTP Relay的计算机,添加默认路由表,以便能将送往内部网络的数据包交给后端防火墙转发
l
将计算机加入到域
五、DNS服务器的配置
1.
对外提供服务的DNS配置
2. 对内提供服务的DNS服务器配置
六、DMZ SMTP Relay
的配置
1. 安装SMTP服务
可以通过“添加/删除组件”进行安装
2. 配置入站
3. 配置出站
七、内部邮件服务器的配置
八、发布DMZ内SMTP Relay
1. 前端防火墙的配置
发布DMZ内的DNS服务器
发布DMZ的SMTP Relay
发布内部的POP3服务器
开放DMZ到外部的SMTP与POP3的请求
开放DMZ到外部的DNS请求
2.后端防火墙的配置
开放SMTP Relay与SMTP服务器之间的SMTP请求
开放内部到DMZ的SMTP请求
开放内部到DMZ之间双向的POP3请求
开放内部到DMZ的DNS的请求
转载于:https://blog.51cto.com/hanmei/136436