SMTP-серверы
Некоторые firewall’ы могут использоваться для получения e-mail, т.е. установления SMTP-соединений. Наиболее популярная конфигурация включает использование основного firewall’а для:
- приема SMTP-соединений;
- пересылки их выделенному прокси / e-mail серверу, расположенному во внутренней DMZ.
Это необходимо, для того чтобы firewall мог обрабатывать почту, анализируя активное содержимое и вложения.
Если пользователям необходим доступ к e-mail из внешних сетей, например, во время командировок, один из методов защиты SMTP-сервера от прямого внешнего доступа состоит в выполнении SSL-прокси на основном firewall’е. Используя web-браузер, внешние пользователи должны соединиться с основным firewall’ом (он может быть сконфигурирован с использованием дополнительных имен для сокрытия своего имени и иметь открытым только порт для НТТРS, но не для НТТР). Основной firewall будет перенаправлять SSL-соединение внутреннему прокси-серверу, который будет обслуживать e-mail поверх НТТР. В этом случае предотвращается прямой внешний доступ к e-mail серверу, но допускается внешний доступ через firewall. Данный подход также может быть использован и для других типов серверов.
Рис. 2.7. Пример топологии сети с двумя DMZ
На рис. 2.7 показан пример окружения firewall’а с внешней и внутренней DMZ и несколькими серверами. В данном примере VPN-сервер совмещен с основным firewall’ом, и dial-in сервер расположен между пограничным роутером с возможностями пакетного фильтра и основным firewall’ом. Другие внешне доступные серверы также расположены во внешней DMZ. Все остальные внутренние серверы расположены во внутренней DMZ и защищены как от внешних, так и от внутренних угроз.
