Exchange Server trong mạng DMZ hoặc mạng LAN

Bạn có cần đặt Máy chủ Microsoft Exchange trong mạng DMZ hoặc mạng LAN không? Bạn có muốn biết cái best practice cho Exchange DMZ không ? trong bài viết này Phương Nguyễn giới thiệu các khái niệm DMZ cũng như bạn nên đặt Exchange trong vùng DMZ hay mạng LAN

Mạng DMZ Là gì?

Trong bảo mật máy tính, DMZ hoặc khu phi quân sự (đôi khi được gọi là mạng ngoại vi hoặc mạng con được sàng lọc) là một mạng con vật lý hoặc logic. Nó chứa và hiển thị các dịch vụ hướng ra bên ngoài của một tổ chức cho một mạng không đáng tin cậy, thường là lớn hơn, chẳng hạn như Internet. Mục đích của DMZ là thêm một lớp bảo mật bổ sung vào mạng cục bộ (LAN) của tổ chức. Một nút mạng bên ngoài chỉ có thể truy cập những gì được hiển thị trong DMZ, trong khi phần còn lại của mạng của tổ chức được tường lửa. DMZ hoạt động như một mạng nhỏ, biệt lập được đặt giữa Internet và mạng riêng. Nếu thiết kế của nó có hiệu quả, nó sẽ cho phép tổ chức có thêm thời gian để phát hiện và xử lý các vi phạm trước khi chúng xâm nhập sâu hơn vào các mạng nội bộ.

Exchange Server trong mạng DMZ hay LAN

When installing Exchange Server, you can install one of the two roles:

Khi cài Exchange Server, bạn có thể cài một trong hai roles sau:

• Exchange Mailbox server role
• Exchange Edge Transport server role

Mỗi vai trò Exchange hoạt động cho một mục đích khác nhau, nếu đó là vai trò Mailbox hoặc vai trò Edge Transport. Đó là lý do tại sao phương pháp hay nhất là đặt máy chủ Hộp thư Exchange trong mạng LAN. Cách tốt nhất để đặt máy chủ Exchange Edge Transport là trong mạng DMZ. Cả hai vai trò máy chủ Exchange đều cần các cổng mạng khác nhau để luồng thư hoạt động.

Quan trọng: Không hạn chế lưu lượng mạng giữa các máy chủ Exchange nội bộ. Điều này có nghĩa là giữa các máy chủ Exchange nội bộ và các máy chủ Lync hoặc Skype for Business nội bộ. Giữa các máy chủ Exchange nội bộ và bộ điều khiển miền Active Directory nội bộ trong bất kỳ và tất cả các loại cấu trúc liên kết. Nếu bạn có tường lửa hoặc thiết bị mạng có khả năng hạn chế hoặc thay đổi loại lưu lượng mạng này, bạn cần định cấu hình các quy tắc cho phép giao tiếp miễn phí và không hạn chế giữa các máy chủ này. Các quy tắc cho phép lưu lượng mạng đến và đi trên bất kỳ cổng nào, bao gồm các cổng RPC ngẫu nhiên. 

Như vậy tối như về bảo mật:

• Exchange Mailbox server role=> Bố trí trong mạng LAN
• Exchange Edge Transport server role=> Bố trí mạng DMZ

Exchange Mailbox server role trong mạng LAN

Microsoft khuyên bạn nên đặt vai trò máy chủ Hộp thư Exchange trong mạng LAN. Đặt nó trong mạng LAN vì máy chủ Exchange Mailbox cần giao tiếp với Active Directory (AD). Hầu hết thông tin Exchange được lưu trữ trong AD.

Không di chuyển máy chủ Hộp thư Exchange sang mạng DMZ. Nếu bạn làm điều đó, nó sẽ mất liên lạc với Domain controller trên mạng LAN riêng. Máy chủ Hộp thư Exchange sẽ không hoạt động. Giữ máy chủ Hộp thư Exchange bên cạnh Bộ điều khiển miền của bạn trong mạng LAN.

Danh sách port yêu cầu cho luồng thư với máy chủ Hộp thư

Điều quan trọng là phải mở các cổng sau nếu bạn có máy chủ Hộp thư Exchange.

Purpose                Ports             Source             Destination
-------	               -----             ------             -----------
Inbound mail           25/TCP (SMTP)     Internet (any)     Mailbox server

Outbound mail          25/TCP (SMTP)     Mailbox server     Internet (any)

Outbound mail          25/TCP (SMTP)     Mailbox server     Internet (any)
(if proxied 
through the 
Front End 
transport service)  

DNS for name           53/UDP,53/TCP     Mailbox server     DNS server
resolution of the      (DNS)
next mail hop*

Phân giải DNS của bước thư tiếp theo là một phần cơ bản của luồng thư trong bất kỳ tổ chức Exchange nào. Máy chủ Exchange chịu trách nhiệm nhận thư đến hoặc gửi thư đi phải có khả năng phân giải cả tên máy chủ nội bộ và bên ngoài để định tuyến thư phù hợp. Và tất cả các máy chủ Exchange nội bộ phải có khả năng phân giải tên máy chủ nội bộ để định tuyến thư phù hợp. Có nhiều cách khác nhau để thiết kế cơ sở hạ tầng DNS, nhưng kết quả quan trọng là đảm bảo độ phân giải tên cho bước tiếp theo hoạt động bình thường cho tất cả các máy chủ Exchange của bạn.

Exchange Edge Transport server role trọng DMZ

Microsoft khuyên bạn nên đặt máy chủ Exchange Edge Transport trong mạng DMZ. Đặt nó trong một mạng ngoại vi bên ngoài Forest Active Directory nội bộ của tổ chức bạn.

Máy chủ Edge Transport hầu như luôn được đặt trong một mạng ngoại vi, vì vậy, bạn có thể hạn chế lưu lượng mạng giữa máy chủ Edge Transport và internet. Ngoài ra, giữa máy chủ Edge Transport và tổ chức Exchange nội bộ của bạn. Các cổng mạng này được mô tả bên dưới.

Danh sách port yêu cầu cho luồng thư với máy chủ Edge Transport

Danh sách port yêu cầu cho luồng thư với máy chủ Hộp thư

Điều quan trọng là phải mở các cổng sau nếu bạn có máy chủ Exchange Edge Transport.

Purpose                Ports             Source             Destination
-------                -----             ------             -----------                 
Inbound mail -         25/TCP (SMTP)     Internet (any)     Edge Transport 
Internet to Edge                                            server
Transport server

Inbound mail -         25/TCP (SMTP)     Edge Transport     Mailbox
Edge Transport                           server             servers in the
server to internal                                          subscribed Active 
Exchange                                                    Directory site
organization

Outbound mail -        25/TCP (SMTP)     Mailbox servers    Edge Transport 
Internal Exchange                        in the subscribed  servers
organization to                          Active Directory
Edge Transport                           site
server

Outbound mail -        25/TCP (SMTP)     Edge Transport     Internet (any)
Edge Transport                           server
server to internet

EdgeSync               50636/TCP         Mailbox servers    Edge Transport 
synchronization        (secure LDAP)     in the subscribed  servers
                                         Active Directory 
                                         site that 
                                         participate in
                                         EdgeSync 
                                         synchronization

DNS for name           53/UDP,53/TCP                        DNS server
resolution of the      (DNS)
next mail hop*

* Phân giải DNS của bước thư tiếp theo là một phần cơ bản của luồng thư trong bất kỳ tổ chức Exchange nào. Máy chủ Exchange chịu trách nhiệm nhận thư đến hoặc gửi thư đi phải có khả năng phân giải cả tên máy chủ nội bộ và bên ngoài để định tuyến thư phù hợp. Và tất cả các máy chủ Exchange nội bộ phải có khả năng phân giải tên máy chủ nội bộ để định tuyến thư phù hợp. Có nhiều cách khác nhau để thiết kế cơ sở hạ tầng DNS, nhưng kết quả quan trọng là đảm bảo độ phân giải tên cho bước tiếp theo hoạt động bình thường cho tất cả các máy chủ Exchange của bạn.

Kết Luận

Trong bài viết này, bạn đã tìm hiểu phương pháp hay nhất để đặt Máy chủ Exchange trong mạng DMZ hoặc mạng LAN. Vai trò Exchange duy nhất mà Microsoft sẽ hỗ trợ trong DMZ là vai trò Edge Transport. Mọi thứ khác phải nằm trong mạng nội bộ (LAN). bạn có thích bài viết này không ? Đừng quên like share cho Phương Nguyễn nhé?

Phương Nguyễn