在背对背防火墙体系结构中发布DMZ SMTP Relay和内网的邮件服务器

     一个安全的网络应该在 Internet 与内部的邮件服务器之间架设一台 SMTP Relay( 中继站 ) ，来避免外部直接现内部的邮件服务器沟通。现将通过背对背防火墙来实现 SMTP Relay 和邮件服务器的发布步骤讲述如下

一、拓扑图如下

二、配置前端防火墙

1.         在路由表中添加路由

因为当前端防火墙收到送住内部网络的数据包时，应该将数据包传给后端防火墙的DMZ网卡，再由其送至内部网络，然而因为前端防火墙指向的是出口路由的IP，所以这些数据包会发送给出口路由。为了让前端防火墙能够将这些数据包发送后端防火墙的DMZ网卡，我们需要添加路由表

 

      

2.         配置内部网络

内部网络应该包括后端防火墙的内部网络和和DMZ区（因添加路由表，所以会自动包括）

              同时我们希望同internet访问的网络规则仍旧包括NAT不变

      

三、配置后端防火墙

1.         配置内部网络

内部网络应该包括后端防火墙的内部网络

网络规则将Internet访问修改为“路由”

 

 

四、AD建立

1.         配置好内部网络的DC、DNS、EXCHANGE我都在一台计算机上已经配置好

2.         将DMZ区的SMTP Relay这台计算机加入域

l         首先新建计算机对象，包括SMTP Relay和DC两个对象

同样的方法建立DC的计算机对象

l         通过建立访问规则开放如下协议，以便DMZ区的SMTP Relay这台计算机加入内部网络的域中

DNS、Kerberos-Adm(UDP)、Kerberos-Sec (TCP)、Kerberos-Sec(UDP)、LDAP、LDAP(UDP)、LDAP GC(全局编录)、Microsoft CIFS(TCP)、NTP(UDP)、RPC(所有界面)

l         在SMTP Relay的计算机，添加默认路由表，以便能将送往内部网络的数据包交给后端防火墙转发

l         将计算机加入到域

五、DNS服务器的配置

1.         对外提供服务的DNS配置

 

2.         对内提供服务的DNS服务器配置

六、DMZ SMTP Relay 的配置

1.         安装SMTP服务

可以通过“添加/删除组件”进行安装

2.         配置入站

3.         配置出站

七、内部邮件服务器的配置

八、发布DMZ内SMTP Relay

1.         前端防火墙的配置

发布DMZ内的DNS服务器

发布DMZ的SMTP Relay

发布内部的POP3服务器

开放DMZ到外部的SMTP与POP3的请求

开放DMZ到外部的DNS请求

 

2.后端防火墙的配置

开放SMTP Relay与SMTP服务器之间的SMTP请求

开放内部到DMZ的SMTP请求

开放内部到DMZ之间双向的POP3请求

开放内部到DMZ的DNS的请求

 

转载于:https://blog.51cto.com/hanmei/136436