問：先前有讀者問你：“如果公共郵件服務器位于DMZ中，讓內部郵件能透過防火墻進行收發的操控過程是怎樣的呢？”你在那篇文章中解釋的正是我的公司正在部署的工作。在那樣的網絡結構下，我可以怎樣來部署webmail系統呢？將防火墻的80端口和433端口配置為開放狀態，并允許外界不通過DMZ而直接訪問我的內部郵件服務器，這么做安全嗎？如果不安全，還有什么其他的方法嗎？

答：你的問題沒有明確的答案，因為這正是安全和email領域的一個有爭議的話題。總的來說，我是建議將所有從Internet上可訪問到的服務器都放置到DMZ中。如果你允許用戶不通過VPN鏈接直接訪問到郵件服務器，上述的那種做法將絕對是我的第一選擇。將郵件服務器放置到DMZ中能抑制攻擊者利用郵件服務器來危害內網。

然而，有一些因素會將這一問題復雜化。許多email系統，特別是Microsoft Exchange在分離webmail前端和email后端時十分困難。這需要在防火墻上開出很多“洞”——讓兩個系統之間進行通信——這限制了它們在不同網絡環境下的工作效率。

如果你的網絡拓撲結構允許一些靈活操作，可以考慮以創建一個單獨的email網絡空間的方式構建一個工作區，用防火墻控制來自DMZ和內網的訪問，然后將email和webmail服務器都放入那一空間。這樣以來，你就可以讓內網的客戶端訪問通過傳統的“胖客戶端”端口進行，而讓Internet上的客戶端通過webmail端口進行訪問。

【編輯推薦】

1. 應用防火墻的下一代
2. 如何自己打造高性能寬帶路由防火墻
3. 下一代防火墻有效應對安全新變化