在背对背防火墙体系结构中发布DMZ SMTP Relay和内网的邮件服务器

     一个安全的网络应该在 Internet 与内部的邮件服务器之间架设一台 SMTP Relay( 中继站 ) ，来避免外部直接现内部的邮件服务器沟通。现将通过背对背防火墙来实现 SMTP Relay 和邮件服务器的发布步骤讲述如下

一、 拓扑图如下

二、配置前端防火墙

1.         在路由表中添加路由

因为当前端防火墙收到送住内部网络的数据包时，应该将数据包传给后端防火墙的 DMZ 网卡，再由其送至内部网络，然而因为前端防火墙指向的是出口路由的 IP ，所以这些数据包会发送给出口路由。为了让前端防火墙能够将这些数据包发送后端防火墙的 DMZ 网卡，我们需要添加路由表

 

      

2.         配置内部网络

内部网络应该包括后端防火墙的内部网络和和 DMZ 区（因添加路由表，所以会自动包括）

              同时我们希望同 internet 访问的网络规则仍旧包括 NAT 不变

      

三、 配置后端防火墙

1.         配置内部网络

内部网络应该包括后端防火墙的内部网络

网络规则将 Internet 访问修改为“路由”

 

 

四、 AD 建立

1.         配置好内部网络的 DC 、 DNS 、 EXCHANGE 我都在一台计算机上已经配置好

2.         将 DMZ 区的 SMTP Relay 这台计算机加入域

l         首先新建计算机对象，包括 SMTP Relay 和 DC 两个对象

同样的方法建立 DC 的计算机对象

l         通过建立访问规则开放如下协议，以便 DMZ 区的 SMTP Relay 这台计算机加入内部网络的域中

DNS 、 Kerberos-Adm(UDP) 、 Kerberos-Sec (TCP) 、 Kerberos-Sec(UDP) 、 LDAP 、 LDAP(UDP) 、 LDAP GC( 全局编录 ) 、 Microsoft CIFS(TCP) 、 NTP(UDP) 、 RPC( 所有界面 )

l         在 SMTP Relay 的计算机，添加默认路由表，以便能将送往内部网络的数据包交给后端防火墙转发

l         将计算机加入到域

五、 DNS 服务器的配置

1.         对外提供服务的 DNS 配置

 

2.         对内提供服务的 DNS 服务器配置

六、 DMZ SMTP Relay 的配置

1.         安装 SMTP 服务

可以通过“添加 / 删除组件”进行安装

2.         配置入站

3.         配置出站

七、 内部邮件服务器的配置

八、 发布 DMZ 内 SMTP Relay

1.         前端防火墙的配置

发布 DMZ 内的 DNS 服务器

发布 DMZ 的 SMTP Relay

发布内部的 POP3 服务器

开放 DMZ 到外部的 SMTP 与 POP3 的请求

开放 DMZ 到外部的 DNS 请求

 

2.后端防火墙的配置

开放 SMTP Relay 与 SMTP 服务器之间的 SMTP 请求

开放内部到 DMZ 的 SMTP 请求

开放内部到 DMZ 之间双向的 POP3 请求

开放内部到 DMZ 的 DNS 的请求