|
Exchange:
Also um einen Exchange im LAN wirst du nicht rumkommen.
Übliches Design ist aber in der DMZ einen "relay" meist auf Linux Basis zu haben, der die Mails per Pop3 abholt und auf Viren/Spam prüft und dann an den Exchange weitergibt (Was natürlich den Virenscanner auf dem Exchange nicht ersetzt).
Diese Linuxe gibts outofthe Box um kein shell-guru werden zu müssen. Bsp: Astaro, Linogate, Troygate, usw.
Ist die Linux Box nicht mehr im Budget, dann musst du das vom Exchange machen lassen.
Der sollte dann aber im internen Lan stehen. Du kannst hier dann aber die Konfiguration am ISA so einstellen dass POP und SMTP nur ausgehend vom Exchange gehen und nicht eingehend.
IIS und SQL:
Theoretisch ist dein Ansatz genau der richtige. Allerdings muss dein IIS sauber und sicher konfiguriert sein, damit nur die IIS Applikationen SQL-Kommandos in Richtung SQL loslassen darf.
Von ISA Seite her hast du dann Port 80 eingehend zum IIS erlaubt, und vom IIS zum SQL lässt du SQL (1433 tcp und udp) zu.
Wichtig sind 2 Dinge:
1. Die Netze DMZ - LAN - und Outside müssen physikalisch getrennt sein (unterschiedliche Switsche oder VLANs).
2. Auf IIS Admin Seiten und Fernsteuerungsmechanismen würde ich nach Möglichkeit verzichten!
Viel Erfolg
Götz
|
