問：先前有讀者問你：“如果公共郵件服務(wù)器位于DMZ中，讓內(nèi)部郵件能透過防火墻進(jìn)行收發(fā)的操控過程是怎樣的呢？”你在那篇文章中解釋的正是我的公司正在部署的工作。在那樣的網(wǎng)絡(luò)結(jié)構(gòu)下，我可以怎樣來部署webmail系統(tǒng)呢？將防火墻的80端口和433端口配置為開放狀態(tài)，并允許外界不通過DMZ而直接訪問我的內(nèi)部郵件服務(wù)器，這么做安全嗎？如果不安全，還有什么其他的方法嗎？

答：你的問題沒有明確的答案，因?yàn)檫@正是安全和email領(lǐng)域的一個(gè)有爭(zhēng)議的話題?？偟膩碚f，我是建議將所有從Internet上可訪問到的服務(wù)器都放置到DMZ中。如果你允許用戶不通過VPN鏈接直接訪問到郵件服務(wù)器，上述的那種做法將絕對(duì)是我的第一選擇。將郵件服務(wù)器放置到DMZ中能抑制攻擊者利用郵件服務(wù)器來危害內(nèi)網(wǎng)。

然而，有一些因素會(huì)將這一問題復(fù)雜化。許多email系統(tǒng)，特別是Microsoft Exchange在分離webmail前端和email后端時(shí)十分困難。這需要在防火墻上開出很多“洞”——讓兩個(gè)系統(tǒng)之間進(jìn)行通信——這限制了它們?cè)诓煌W(wǎng)絡(luò)環(huán)境下的工作效率。

如果你的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)允許一些靈活操作，可以考慮以創(chuàng)建一個(gè)單獨(dú)的email網(wǎng)絡(luò)空間的方式構(gòu)建一個(gè)工作區(qū)，用防火墻控制來自DMZ和內(nèi)網(wǎng)的訪問，然后將email和webmail服務(wù)器都放入那一空間。這樣以來，你就可以讓內(nèi)網(wǎng)的客戶端訪問通過傳統(tǒng)的“胖客戶端”端口進(jìn)行，而讓Internet上的客戶端通過webmail端口進(jìn)行訪問。

【編輯推薦】

1. 應(yīng)用防火墻的下一代
2. 如何自己打造高性能寬帶路由防火墻
3. 下一代防火墻有效應(yīng)對(duì)安全新變化