kwakS 10 Geschrieben 30. Mai 2007 Melden Geschrieben 30. Mai 2007 Hallo zusammen, wir planen ein hier in der Firma ein Exchange 2003 Mailingsystem einzuführen. Es soll ebenfalls der Zugriff auf die Mails per WebAccess realisert werden. Das heißt, dass wir eine FrontEnd und Backend Struktur aufbauen werden. MS publiziert in dem 284 Buch, dass man den Frontend Server hinter die Firewall in die DMZ setzt und damit alles sicher ist. (zu mindest verstehe ich das so) Wenn man nun auf der MS Homepage ein wenig recherchiert stellt man fest, dass der ISA Server in der DMZ hängt und nun nicht mehr der Frontend Server. Der ISA Server leitet dann faktisch alle Anfragen aus dem Web an den Frontend Server weiter. Dass die Lösung mit dem ISA Server die sichere Lösung ist, ist mir klar. Wie ist Exchange WebAccess bei euch implementiert? Gibt es eine andere Möglichkeit um an dem ISA Server vorzukommen aber trotzdem eine sichere Umgebung aufzubauen ?
Dirk_privat 10 Geschrieben 30. Mai 2007 Melden Geschrieben 30. Mai 2007 Hallo, Du kannst den FE in die DMZ stellen, das ist aber eine unsichere Variante. Zur Info: Wenn Du WebAcces (OWA) benötigst, brauchst Du deshalb kein FE/BE, ein BE reicht aus. Best Practice wäre, auf OWA über SSL zuzugreifen, dazu brauchst Du keinen ISA Server. Der Nachteil einer SSL Lösung ohne eine Application Firewall ist, daß der Verkehr innerhalb von SSL auch für die Firewall unsichtbar ist und somit der Schutz zweifelhaft ist. Mit einem ISA Server läßt Du die Daten nicht durchgängig vom Internet auf Deinen Exchange durch, sondern der ISA steht dazwischen und leitet die Anfragen via SSL Bridging an den Exchange weiter (ganz grob). Mit einem ISA Server oder genauer gesagt, mit einer Layer7 Firewall ist eine DMZ nicht mehr nötig, da gehen die Meinungen allerdings auseinander. Mit dem ISA Server werden die Applikationen nach außen veröffentlicht und die Daten werden auf Layer 7 gefiltert. Durch den ISA hast Du auch die Möglichkeit RPC over HTTPS einigermaßen sicher zu publishen, was mit einer "einfachen" Packet Firewall nicht möglich ist. Die optimale Lösung ist auf jeden Fall FE/BE mit ISA und OWA publishen, das ist allerdings auch eine Kostenfrage. Gruß Dirk
kwakS 10 Geschrieben 30. Mai 2007 Autor Melden Geschrieben 30. Mai 2007 Danke für den groben Überblick. Der reicht für den ersten Ansatz aus.
firefox80 10 Geschrieben 30. Mai 2007 Melden Geschrieben 30. Mai 2007 für FE brauchst du übrigens eine Enterprise Edition. Auf dem BE könnte aber trotzdem eine Std. laufen
kwakS 10 Geschrieben 30. Mai 2007 Autor Melden Geschrieben 30. Mai 2007 für FE brauchst du übrigens eine Enterprise Edition. Auf dem BE könnte aber trotzdem eine Std. laufen Danke für die Info aber das wußte ich schon :D
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden