Exchange 2007 front-end / Exchange 2007 back-end via vmware works
Hej.
Jeg er ved at kører en ny exchange 2007 back-end server op. For at minimere omkostinger til hardware - har jeg inst. en vmware workstation på samme maskine og inst. en 2007 front-end virtuelt på samme hardware hvilket virker fint.
Mit spørgsmål er omkring det sikkerhedsmæssige ved denne løsning.
Min back-end server er forbundet til vores private LAN via maskinens netkort1. Netkort 2 på samme maskine er forbundet til til DMZ zonen på firewallen, som der er adgang til udefra via https til OWA -> front-end serveren.
Min virtuelle front-end server har jeg bridged med netkort2 - derudover har jeg ændre ip'en på backend-serverens LAN2, så den ligger i et andet net end front-ende serveren for at undgå at de har adgang til hinanden.
Er denne løsning sikker nok når front-end serveren gør brug af samme fysiske netkort2 som back-end serveren blot med ip-net der adskiller dem?. Vil dette nemt kunne brydes?. JEg havde håbet på at man kunne disable netkort2 på hosten, men så virker det jo ikke i vmware. Findes der evt. en alternativ løsning for at gøre det mere sikkert, sålænge der kun er 1 server til rådighed?
Det sikkerhedsmæssige perspektiv i denne løsning er måske ikke helt optimalt. Du lægger vmware ovenpå en OS som i sig selv så vil være eksponeret og det er jo ikke helt 100.
Hvis det skal laves "by the book" skal den jo egentlig på egen server i en DMZ, men vil du ikke det kan du evt. anvende vmware 3i foundation server som er blevet ret prisbilligt. Så har du _kun_ de ting som er nødvendige for at afvikle dine vm's :)
Hej tak for respons, men tror problemet halvejs har løst sig selv efter jeg har læst lidt nærmere på exch.2007, men der er så opstået en anden problematik. I Exchange 2007 har man fjernet back-end/front-end topologien og fordelt det ud på forskellige roller i stedet for, men alle disse skal places på lan bortset fra tranport/edge rollen som kan placeres i dmz til spam/virus filtrering. Så jeg kan dermed nøjes med en server medmindre jeg ønker spam filtrering allerede i DMZ zonen og dermed for jeg ikke brug for den virtuelle server. Men er det sikkert nok at åbne for https(til OWA) direkte fra wan til min exchange 2007 på lan eller bør man gøre brug af en isa i dmz zonen - jeg ville jo helst spare den ekstra isa server hvis det andet er sikker nok. Hvad er din holdning?
Min holdning er at der _altid_ bør være en firewall foran nogen som helst server. Hvis der ikke er eksponerer du en server direkte til internettet på alle 65536 porte, og det kan potentielt misbruges.
Med en firewall foran kan du kontrollere hvad der skal være adgang til og hvad der ikke skal. Om det så skal være en ISA eller ej er et helt andet spørgsmål, men en ISA er vel bedre end ingenting ;)
Hej igen. Det kan godt være at jeg ikke formulerede mig tydeligt nok, men vi har selvfølgelig en hardware firewal. Mit spørgsmål var om det var sikker nok at åbne port 443 fra wan -> vores exchange server på lan til OWA. Eller bør man opsætte en ISA i vores DMZ zone og så lave adgangen via denne?
Hej.. Jeg forstår ikke helt dit svar. Mit problem er jo at Exchange CAS rollen skal placeres på mit lan og derfor skal jeg enten åbne for https direkte fra WAN->LAN eller ha en ISA placeret i DMZ'en...Og ISA'en er vel også bedere til at sikre adgangen til exchange end min HW firewall hvor jeg blot åbner for den pågældende port?
Om ISA er bedre til at håndtere dette kommer jo helt an på hvilken HW firewall du har stående. Det er klart at har du købt en fra den lokale computer-biks til 499.- er ISA en hel del mere bevendt :)
Vedr. din CAS server skal den ganske korrekt sidde på LAN'et da den skal være medlem i dit AD. Hvis du ikke vil have direkte adgang fra dit WAN interface ind til din CAS server på port 443, skal du ud i et eller andet med at få trafikken ind til en server i din DMZ zone for derefter at få denne server til at hente dataene fra din CAS.
Det setup har jeg endnu ikke prøvet med Exchange 2007, så kan desværre ikke give så mange råd omkring det :(
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
