一个安全的网络应该在Internet与内部的邮件服务器之间架设一台SMTP Relay(中继站),来避免外部直接现内部的邮件服务器沟通。现将通过背对背防火墙来实现SMTP Relay和邮件服务器的发布步骤讲述如下

一、拓扑图如下

二、配置前端防火墙

1. 在路由表中添加路由

因为当前端防火墙收到送住内部网络的数据包时,应该将数据包传给后端防火墙的DMZ网卡,再由其送至内部网络,然而因为前端防火墙指向的是出口路由的IP,所以这些数据包会发送给出口路由。为了让前端防火墙能够将这些数据包发送后端防火墙的DMZ网卡,我们需要添加路由表

2. 配置内部网络

内部网络应该包括后端防火墙的内部网络和和DMZ区(因添加路由表,所以会自动包括)

同时我们希望同internet访问的网络规则仍旧包括NAT不变

三、配置后端防火墙

1. 配置内部网络

内部网络应该包括后端防火墙的内部网络

网络规则将Internet访问修改为“路由”

四、AD建立

1. 配置好内部网络的DC、DNS、EXCHANGE我都在一台计算机上已经配置好

2. 将DMZ区的SMTP Relay这台计算机加入域

l 首先新建计算机对象,包括SMTP Relay和DC两个对象

同样的方法建立DC的计算机对象

l 通过建立访问规则开放如下协议,以便DMZ区的SMTP Relay这台计算机加入内部网络的域中

DNS、Kerberos-Adm(UDP)、Kerberos-Sec (TCP)、Kerberos-Sec(UDP)、LDAP、LDAP(UDP)、LDAP GC(全局编录)、Microsoft CIFS(TCP)、NTP(UDP)、RPC(所有界面)

l 在SMTP Relay的计算机,添加默认路由表,以便能将送往内部网络的数据包交给后端防火墙转发

l 将计算机加入到域

五、DNS服务器的配置

1. 对外提供服务的DNS配置

2. 对内提供服务的DNS服务器配置

六、DMZ SMTP Relay的配置

1. 安装SMTP服务

可以通过“添加/删除组件”进行安装

2. 配置入站

3. 配置出站

七、内部邮件服务器的配置

八、发布DMZ内SMTP Relay

1. 前端防火墙的配置

发布DMZ内的DNS服务器

发布DMZ的SMTP Relay

发布内部的POP3服务器

开放DMZ到外部的SMTP与POP3的请求

开放DMZ到外部的DNS请求

2.后端防火墙的配置

开放SMTP Relay与SMTP服务器之间的SMTP请求

开放内部到DMZ的SMTP请求

开放内部到DMZ之间双向的POP3请求

开放内部到DMZ的DNS的请求

本文出自 “快乐分享” 博客,请务必保留此出处http://hanmei.blog.51cto.com/521325/136436