如何为webmail系统部署配置防火墙端口

日期: 2009-12-02 作者:Mike Chapple翻译:唐波 来源:TechTarget中国 英文

问:先前有读者问你:“如果公共邮件服务器位于DMZ中,让内部邮件能透过防火墙进行收发的操控过程是怎样的呢?”你在那篇文章中解释的正是我的公司正在部署的工作。在那样的网络结构下,我可以怎样来部署webmail系统呢?将防火墙的80端口和433端口配置为开放状态,并允许外界不通过DMZ而直接访问我的内部邮件服务器,这么做安全吗?如果不安全,还有什么其他的方法吗?   答:你的问题没有明确的答案,因为这正是安全和email领域的一个有争议的话题。总的来说,我是建议将所有从Internet上可访问到的服务器都放置到DMZ中。如果你允许用户不通过VPN链接直接访问到邮件服务器,上述的那种做法将绝对是我的……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

问:先前有读者问你:“如果公共邮件服务器位于DMZ中,让内部邮件能透过防火墙进行收发的操控过程是怎样的呢?”你在那篇文章中解释的正是我的公司正在部署的工作。在那样的网络结构下,我可以怎样来部署webmail系统呢?将防火墙的80端口和433端口配置为开放状态,并允许外界不通过DMZ而直接访问我的内部邮件服务器,这么做安全吗?如果不安全,还有什么其他的方法吗?

  答:你的问题没有明确的答案,因为这正是安全和email领域的一个有争议的话题。总的来说,我是建议将所有从Internet上可访问到的服务器都放置到DMZ中。如果你允许用户不通过VPN链接直接访问到邮件服务器,上述的那种做法将绝对是我的第一选择。将邮件服务器放置到DMZ中能抑制攻击者利用邮件服务器来危害内网。

  然而,有一些因素会将这一问题复杂化。许多email系统,特别是Microsoft Exchange在分离webmail前端和email后端时十分困难。这需要在防火墙上开出很多“洞”——让两个系统之间进行通信——这限制了它们在不同网络环境下的工作效率。

  如果你的网络拓扑结构允许一些灵活操作,可以考虑以创建一个单独的email网络空间的方式构建一个工作区,用防火墙控制来自DMZ和内网的访问,然后将email和webmail服务器都放入那一空间。这样以来,你就可以让内网的客户端访问通过传统的“胖客户端”端口进行,而让Internet上的客户端通过webmail端口进行访问。

作者

Mike Chapple
Mike Chapple

Mike Chapple, CISSP,University of Notre Dame的IT安全专家。他曾担任国家安全局和美国空军的信息安全研究员。Mike经常为SearchSecurity.com撰稿,是《信息安全》杂志的技术编辑。

相关推荐