Bạn có cần đặt Máy chủ Microsoft Exchange trong mạng DMZ hoặc mạng LAN không? Bạn có muốn biết cái best practice cho Exchange DMZ không ? trong bài viết này Phương Nguyễn giới thiệu các khái niệm DMZ cũng như bạn nên đặt Exchange trong vùng DMZ hay mạng LAN
Mạng DMZ Là gì?
Trong bảo mật máy tính, DMZ hoặc khu phi quân sự (đôi khi được gọi là mạng ngoại vi hoặc mạng con được sàng lọc) là một mạng con vật lý hoặc logic. Nó chứa và hiển thị các dịch vụ hướng ra bên ngoài của một tổ chức cho một mạng không đáng tin cậy, thường là lớn hơn, chẳng hạn như Internet. Mục đích của DMZ là thêm một lớp bảo mật bổ sung vào mạng cục bộ (LAN) của tổ chức. Một nút mạng bên ngoài chỉ có thể truy cập những gì được hiển thị trong DMZ, trong khi phần còn lại của mạng của tổ chức được tường lửa. DMZ hoạt động như một mạng nhỏ, biệt lập được đặt giữa Internet và mạng riêng. Nếu thiết kế của nó có hiệu quả, nó sẽ cho phép tổ chức có thêm thời gian để phát hiện và xử lý các vi phạm trước khi chúng xâm nhập sâu hơn vào các mạng nội bộ.
Exchange Server trong mạng DMZ hay LAN
When installing Exchange Server, you can install one of the two roles:
Khi cài Exchange Server, bạn có thể cài một trong hai roles sau:
- Exchange Mailbox server role
- Exchange Edge Transport server role
Mỗi vai trò Exchange hoạt động cho một mục đích khác nhau, nếu đó là vai trò Mailbox hoặc vai trò Edge Transport. Đó là lý do tại sao phương pháp hay nhất là đặt máy chủ Hộp thư Exchange trong mạng LAN. Cách tốt nhất để đặt máy chủ Exchange Edge Transport là trong mạng DMZ. Cả hai vai trò máy chủ Exchange đều cần các cổng mạng khác nhau để luồng thư hoạt động.
Quan trọng: Không hạn chế lưu lượng mạng giữa các máy chủ Exchange nội bộ. Điều này có nghĩa là giữa các máy chủ Exchange nội bộ và các máy chủ Lync hoặc Skype for Business nội bộ. Giữa các máy chủ Exchange nội bộ và bộ điều khiển miền Active Directory nội bộ trong bất kỳ và tất cả các loại cấu trúc liên kết. Nếu bạn có tường lửa hoặc thiết bị mạng có khả năng hạn chế hoặc thay đổi loại lưu lượng mạng này, bạn cần định cấu hình các quy tắc cho phép giao tiếp miễn phí và không hạn chế giữa các máy chủ này. Các quy tắc cho phép lưu lượng mạng đến và đi trên bất kỳ cổng nào, bao gồm các cổng RPC ngẫu nhiên.
Như vậy tối như về bảo mật:
- Exchange Mailbox server role=> Bố trí trong mạng LAN
- Exchange Edge Transport server role=> Bố trí mạng DMZ
Exchange Mailbox server role trong mạng LAN
Microsoft khuyên bạn nên đặt vai trò máy chủ Hộp thư Exchange trong mạng LAN. Đặt nó trong mạng LAN vì máy chủ Exchange Mailbox cần giao tiếp với Active Directory (AD). Hầu hết thông tin Exchange được lưu trữ trong AD.
Không di chuyển máy chủ Hộp thư Exchange sang mạng DMZ. Nếu bạn làm điều đó, nó sẽ mất liên lạc với Domain controller trên mạng LAN riêng. Máy chủ Hộp thư Exchange sẽ không hoạt động. Giữ máy chủ Hộp thư Exchange bên cạnh Bộ điều khiển miền của bạn trong mạng LAN.
Danh sách port yêu cầu cho luồng thư với máy chủ Hộp thư
Điều quan trọng là phải mở các cổng sau nếu bạn có máy chủ Hộp thư Exchange.
Purpose Ports Source Destination
------- ----- ------ -----------
Inbound mail 25/TCP (SMTP) Internet (any) Mailbox server
Outbound mail 25/TCP (SMTP) Mailbox server Internet (any)
Outbound mail 25/TCP (SMTP) Mailbox server Internet (any)
(if proxied
through the
Front End
transport service)
DNS for name 53/UDP,53/TCP Mailbox server DNS server
resolution of the (DNS)
next mail hop*
Phân giải DNS của bước thư tiếp theo là một phần cơ bản của luồng thư trong bất kỳ tổ chức Exchange nào. Máy chủ Exchange chịu trách nhiệm nhận thư đến hoặc gửi thư đi phải có khả năng phân giải cả tên máy chủ nội bộ và bên ngoài để định tuyến thư phù hợp. Và tất cả các máy chủ Exchange nội bộ phải có khả năng phân giải tên máy chủ nội bộ để định tuyến thư phù hợp. Có nhiều cách khác nhau để thiết kế cơ sở hạ tầng DNS, nhưng kết quả quan trọng là đảm bảo độ phân giải tên cho bước tiếp theo hoạt động bình thường cho tất cả các máy chủ Exchange của bạn.
Exchange Edge Transport server role trọng DMZ
Microsoft khuyên bạn nên đặt máy chủ Exchange Edge Transport trong mạng DMZ. Đặt nó trong một mạng ngoại vi bên ngoài Forest Active Directory nội bộ của tổ chức bạn.
Máy chủ Edge Transport hầu như luôn được đặt trong một mạng ngoại vi, vì vậy, bạn có thể hạn chế lưu lượng mạng giữa máy chủ Edge Transport và internet. Ngoài ra, giữa máy chủ Edge Transport và tổ chức Exchange nội bộ của bạn. Các cổng mạng này được mô tả bên dưới.
Danh sách port yêu cầu cho luồng thư với máy chủ Edge Transport
Danh sách port yêu cầu cho luồng thư với máy chủ Hộp thư
Điều quan trọng là phải mở các cổng sau nếu bạn có máy chủ Exchange Edge Transport.
Purpose Ports Source Destination
------- ----- ------ -----------
Inbound mail - 25/TCP (SMTP) Internet (any) Edge Transport
Internet to Edge server
Transport server
Inbound mail - 25/TCP (SMTP) Edge Transport Mailbox
Edge Transport server servers in the
server to internal subscribed Active
Exchange Directory site
organization
Outbound mail - 25/TCP (SMTP) Mailbox servers Edge Transport
Internal Exchange in the subscribed servers
organization to Active Directory
Edge Transport site
server
Outbound mail - 25/TCP (SMTP) Edge Transport Internet (any)
Edge Transport server
server to internet
EdgeSync 50636/TCP Mailbox servers Edge Transport
synchronization (secure LDAP) in the subscribed servers
Active Directory
site that
participate in
EdgeSync
synchronization
DNS for name 53/UDP,53/TCP DNS server
resolution of the (DNS)
next mail hop*
* Phân giải DNS của bước thư tiếp theo là một phần cơ bản của luồng thư trong bất kỳ tổ chức Exchange nào. Máy chủ Exchange chịu trách nhiệm nhận thư đến hoặc gửi thư đi phải có khả năng phân giải cả tên máy chủ nội bộ và bên ngoài để định tuyến thư phù hợp. Và tất cả các máy chủ Exchange nội bộ phải có khả năng phân giải tên máy chủ nội bộ để định tuyến thư phù hợp. Có nhiều cách khác nhau để thiết kế cơ sở hạ tầng DNS, nhưng kết quả quan trọng là đảm bảo độ phân giải tên cho bước tiếp theo hoạt động bình thường cho tất cả các máy chủ Exchange của bạn.
Kết Luận
Trong bài viết này, bạn đã tìm hiểu phương pháp hay nhất để đặt Máy chủ Exchange trong mạng DMZ hoặc mạng LAN. Vai trò Exchange duy nhất mà Microsoft sẽ hỗ trợ trong DMZ là vai trò Edge Transport. Mọi thứ khác phải nằm trong mạng nội bộ (LAN). bạn có thích bài viết này không ? Đừng quên like share cho Phương Nguyễn nhé?
Phương Nguyễn