当提高网络的安全保护时,您不仅需要检查计算机本身的安全性,还要检查计算机之间互相传输的数据是否安全。对于任何系统,最好的入手点是检查它有哪些可用功能,还需要什么功能,并考虑每个功能构成的风险。 在本指南中,我们假定您需要以下功能:a) 通过 Internet 发送和接收电子邮件,b) 使用 Outlook Web access 通过 Internet 访问 Exchange。如果您不需要这些功能,那么可以锁定更多的系统功能。反之,如果您需要 POP3 和 IMAP4 功能,那么就需要开放系统环境以便实现这些功能。 本指南中建议的前端/后端服务器环境允许您通过 Internet 发送邮件,还允许通过 Internet 访问 Exchange。本章介绍如何保护通信安全,并且还分析如何保护客户端的通信安全。 注意:使用 ISA Server 附带的 Exchange 远程过程调用 (RPC) 应用程序过滤器也可以通过 Internet 访问 Outlook。不过,本指南不介绍这种访问 Exchange 的方法。请参阅本章“更多信息”一节列出的“配置与保护 Microsoft Exchange 2000 Server和客户端安全”白皮书和《Microsoft Exchange 2000 Server 托管系列文章》(微软出版社,ISBN: 0-7356-1829-1 和 0-7356-1830-5)。 保护 Outlook 2002 中的通信安全 在 Outlook 2002 中,您可以采取许多方法来提高通信安全。它们包括: 对 Outlook 2002 和 Exchange 服务器之间的 MAPI 连接进行加密 通过 S/MIME 证书对邮件进行签名和加密 对 Outlook 2002 和 Exchange 服务器之间的 MAPI 连接进行加密 Windows 2000 的内置安全功能可以为 RPC 通信提供 128 位加密。由于 MAPI 连接通过 RPC 进行,因此您可以利用这种内置安全功能来提高对 Outlook 2002 客户端到 Exchange 服务器之间连接的安全保护。 若要对 Outlook 2002 到 Exchange 服务器之间的 MAPI 连接启用 RPC 加密,请执行以下步骤: 在 Outlook 2002 中,单击“工具”,然后单击“电子邮件帐户”。 单击“下一步”。 确保选中了 Exchange 服务器,然后单击“更改”。 单击“其他设置”。 单击“高级”选项卡。 选中“使用网络时”。 单击“确定”。 单击“下一步”。 单击“完成”。 注意:在 Outlook 2002 中设置用户配置文件时,也可以指定该设置。 RPC 加密只对从 MAPI 客户端到 Exchange 服务器之间的数据进行加密。它不对邮件本身进行加密。 对邮件进行签名和加密 Outlook 2002 在向内部或外部收件人发送邮件时,可对邮件进行签名和加密。使用这种加密功能时,需要具有证书。如果您要向 Internet 收件人发送签名和/或加密过的电子邮件,那么需要使用第三方软件供应商提供的认可证书(也称为数字标识)。 您在客户端上安装了证书之后,就可以开始使用 S/MIME 发送经过签名和加密的邮件了。只有获得其他用户的公钥后,才可以给他们发送加密邮件。您可以先让其他用户给您发送一个签名邮件,然后将该用户添加到您的联系人列表。现在,您就获得了他们的公钥。 注意:有关对邮件进行签名和加密的详细信息,请参阅知识库文章 Q286159:“Encryption and Message Security Overview”(加密与邮件安全性概述)。 密钥管理服务 如果您希望在 Exchange 组织内部,用户之间日常发送的邮件都是经过签名和加密的邮件,那么您应当考虑使用 Exchange 2000 提供的密钥管理服务。该服务使用 Windows 2000 证书服务,不仅具有公钥访问功能,还能够对私钥进行安全的集中式访问。这可以帮助客户顺利地访问经过签名和加密的邮件,并允许他们把这些邮件发送给全球通讯簿 (GAL) 中所有其他启用安全保护的收件人。 注意:如果您在使用密钥管理服务器的同时,使用从属于一个第三方证书颁发机构 (CA) 的 CA,那么您可以将密钥管理服务与 Internet 上的其他服务集成。 保护 OWA 通信安全 起初看来,与 OWA 的通信非常简单。只需通过 Web 浏览器与 OWA 服务器通信,就可发送电子邮件。一般通过端口 80 发送电子邮件,如果通信安全,也可使用端口 443 发送邮件。但是,情况远非看起来那么简单。当客户端通过端口 80 或 443 连接到前端服务器时,这些前端服务器需要与它们所在域中的域控制器进行通信以便验证用户身份。它们还需要与 Exchange 后端服务器通信,以便实际访问适当邮箱或公用文件夹中的信息。 将 OWA 前端服务器放置在周边网络(也称为 DMZ)之中,并且把后端服务器放置在内部防火墙之内,通过这种方法 OWA 前端服务器就可以得到保护。但是,为保证这种方法发挥作用,需要在内部防火墙上打开大量的端口。 使用 ISA Server 保护 OWA 安全 为尽量减少在内部防火墙上打开的端口数量,您可以使用应用层防火墙,比如 Microsoft Internet Security and Acceleration (ISA) Server。ISA Server 使您可以将 SMTP 服务器和 OWA 前端服务器都放置在防火墙后面。利用服务器发布和 Web 发布规则,ISA Server 对外模仿内部服务器,而不将这些服务器放在 DMZ 中。 注意:有关用于前端服务器与其他服务器之间通信的端口列表,请参见本章末尾“更多信息”一节列出的“Exchange 2000 前端和后端拓扑”白皮书。 下图显示 Internet 上向 OWA 客户端发布 OWA 服务器的 ISA Server:
图1 安全的防火墙结构 注意:在该配置中,OWA 前端服务器的外部 DNS 项目需要引用在 ISA Server 上发布的 ip 地址,而不是 OWA 前端服务器的地址。 注意:如果无法为布置 ISA Server 改变现有的两道防火墙结构,您可以将 ISA Server 放置在当前的内部防火墙之内,并将 TCP 端口 443 向 ISA Server 开放。 防火墙有助于保护您的服务器避免遭到攻击。但是,您还需要保护在服务器之间传输的数据。当 Internet 上的 Web 浏览器客户端使用 HTTP 通过 OWA 访问 Exchange 时,将出现以下情况: HTTP 请求从 Web 浏览器发送到 ISA Server。如果 ISA 发布规则允许,请求就会传递给 OWA 前端服务器。 ISA Server 建立一个新的与前端服务器的 HTTP 连接,并将自己的 IP 地址作为源 IP 地址。 OWA 前端服务器处理 HTTP 请求。作为处理过程的一部分,OWA 前端服务器将: 根据全局目录服务器验证用户和联系人的身份,以便确定用户邮箱的位置。 解析用户邮箱服务器的 IP 地址。 OWA 前端服务器建立一个新的与 Exchange 后端服务器的 HTTP 会话。 您需要启用基本的身份验证,这是支持 OWA 的 IIS 配置的一部分。由于用于通信的唯一协议是 HTTP 或 HTTPS,所以集成的 Windows 身份验证不起作用,并且您不可以使用匿名访问,因为这会导致向 Internet 中的所有人开放您的电子邮件环境。 基本的身份验证意味着利用 HTTP 连接,密码和电子邮件将以未加密方式通过 Internet 传递。如果没有使用其他的加密方法,则这些数据包将在 ISA Server 和 OWA 前端服务器之间继续以明文方式进行未加密的传输。在 OWA 执行身份验证后,同样的未加密信息(包括密码)将通过 HTTP 在 OWA 前端服务器和后端服务器之间发送。为防止这种情况发生,必须在 Web 浏览器和 Exchange 后端服务器之间的整个传输路径中对用户凭据进行加密。这可以通过以下操作来实现: 使用 SSL 加密保护 Web 浏览器和 ISA Server 之间的通信安全 使用 SSL 保护 ISA Server 和 OWA 前端服务器之间的通信安全。 使用 IPSec 加密保护 OWA 前端服务器和 Exchange 后端服务器之间的通信安全。 我们将一一说明这些操作。 保护 Web 浏览器和 ISA 服务器之间的通信安全 若要使用 SSL 对在 Web 浏览器和 ISA Server 之间传送的数据进行加密,您需要在 ISA Server 上安装 SSL 证书和合适的 SSL 侦听器。由于使用证书的外部 Web 客户端可能不属于您的企业结构,因此您的证书应该由全球受信任的证书颁发机构 (CA) 颁发。 配置 ISA Server 以支持 SSL 通信 为从 Web 浏览器接收 SSL 请求,可以通过许多方法来配置 ISA Server。ISA Server 可以: 接收 SSL 通信并将它们传递给防火墙之内的服务器。 对 SSL 通信解密并将它们以未加密方式传递给后端。 对 SSL 通信解密并在将它们传递给后端前重新加密。 注意:解密和重新加密 SSL 通信需要 ISA Server SP1 或更高的版本。除非安装 ISA Server SP1 或更高版本,否则以下步骤将无法正常工作。 在这三种方法中,最安全的方法是先对数据包解密然后重新加密,因为这种方法允许 ISA Server 检查数据有没有漏洞。它还保护数据避免来自 ISA Server 内部的攻击。 注意:某些国家/地区的法律可能会禁止您在网络的中间点对数据进行解密和检查。在采取这种方法前,您应该了解它的法律含义。 注意:若要提高性能并减少 SSL 的开销,您应该考虑使用 SSL 加速器网络适配器。 若要成功地对数据进行加密,您应该确保满足以下条件: OWA 的 ISA Server 证书需要有公共名称,即友好名称,该名称与 Web 浏览器用来引用 OWA 资源的完全限定域名称 (FQDN) 相匹配。例如,如果客户端使用的 OWA URL 是 https://mail.nwtraders.com/exchange,则证书的公共名称应为 mail.nwtraders.com。 证书必须导入到 ISA Server 的个人 计算机存储区或者发布 OWA 资源的服务器中。
将证书导入 ISA Server 时,务必启用“Mark the PRivate key as exportable”(标记此私钥为可导出的)。 为避免意外传送明文密码,ISA Server 应该只允许使用安全通道,拒绝已发布 OWA 站点的明文 HTTP 连接。 ISA Server 使用 Web 发布规则以便 Internet 客户端能够使用 OWA 服务器。但是,在创建 Web 发布规则前,必须在 ISA Server 做好 Web 发布的准备。这可以通过配置“传入 Web 请求”和“传出 Web 请求”来完成。 注意:在完成以下步骤前,您需要导入外部证书。 若要配置传入 Web 请求,请执行以下步骤: 启动“ISA 管理”。 右键单击 ISA Server 并选择“属性”。 单击“传入 Web 请求”选项卡。 选择“Configure listeners individually per IP Address”(单独配置每个 IP 地址的监听程序),然后单击“添加”。 选择您的 ISA Server 及其外部的 IP 地址。 选择“Use a server certificate to authenticate web clients”(使用服务器证书以验证 Web 客户)。 单击“选择”,然后选择 FQDN 客户端将用来访问 SSL 站点的证书。 单击“确定”。 选择“Enable SSL Listeners”(启用 SSL 监听器)。 单击“确定”。 单击“确定”。 单击“保存更改并重新启动服务”,然后单击“确定”。 若要配置传出 Web 请求,请执行以下步骤: 注意:执行以下步骤将禁止内部网络的用户使用 ISA Server 作为代理服务器来访问 Internet 上的 Web 站点。对于通过 ISA 访问 OWA 来说,是否执行该步骤都无关紧要,但该步骤可以作为附加的安全保护。 启动“ISA 管理”。 右键单击 ISA 服务器并选择“属性”。 单击“传出 Web 请求”选项卡。 选择“Configure listeners individually per IP Address”(单独配置每个 IP 地址的监听程序),确信没有列出任何 IP 地址,然后单击“确定”。 单击“保存更改并重新启动服务”,然后单击“确定”。 您现在就做好了为支持 OWA 配置 Web 发布的准备。 若要为 OWA 配置 Web 发布,请执行以下步骤: 在“ISA 管理”中,展开 ISA Server,然后展开“发布”。 右键单击“Web 发布规则”,选择“新建”,然后选择“规则” 提供一个名称,比如 OWA - 然后单击“下一步”。 验证选择了“All destinations”(所有目标),然后单击“下一步”。 验证选中了“Any request”(任何请求),然后单击“下一步”。 选择“Redirect the request to this internal Web server (name or IP Address)”(重定向请求到此内部 Web 服务器(名称或 IP 地址)),然后单击“浏览”并选择 OWA 前端服务器。 选择“Send the original host header to the publishing server instead of the actual one (specified above)”(发送原始主机报头给发布服务器而不是实际的服务器(上述指定的)),然后单击“下一步”。 单击“完成”。 在文件夹窗格中,单击“Web 发布规则”,然后双击新规则。 单击“桥接”选项卡。 选择“需要发布站点的安全通道 (SSL)”,选择“需要 128 位加密”,然后单击“确定”。 注意:您还需要为环境中适当的路由器和防火墙上的端口 80 和 443 配置合适的规则。 注意:有关使用 ISA Server 发布 SMTP 和 OWA 的详细信息,请参阅知识库文章 Q290113:“How to Publish Outlook Web Access Behind ISA Server”(如何在 ISA Server 后面发布 Outlook Web Access)和 Q308599:“How to Configure ISA Server to Publish Exchange for OWA”(如何配置 ISA Server 以发布 Exchange for OWA)。 ISA Server 和 OWA 前端服务器之间的加密 若要对 ISA Server 和 OWA 前端服务器之间的通信进行加密,您需要在 OWA 前端服务器上安装 SSL 证书。ISA Server 和 OWA 前端服务器是您的企业结构的组成部分,因此企业的内部根 CA 或其任何受信任的从属证书颁发机构都可以颁发前端服务器证书。 若要请求获得 OWA 前端服务器的证书,请执行以下操作: 注意:以下步骤假定您在环境中安装了 CA。 在 OWA 前端服务器上启动“Exchange 服务管理器”。 右键单击“默认 Web 站点”,然后单击“属性”。 单击“目录安全”选项卡,然后单击“服务器证书”。 依次单击“下一步”和“创建新证书”,然后单击“下一步”。 单击“Send the request immediately to an online certificate authority”(立即发送请求给联机证书颁发机构)选项按钮,然后单击“下一步”。 在“名称”字段中输入一个名称,然后单击“下一步”。 在“组织”字段中,输入您的企业名称。 在“组织单位”字段中,输入您的组织单位名称,然后单击“下一步”。 在“公共名称”字段中,输入 OWA 前端服务器的 FQDN,然后单击“下一步”。 输入州和城市的信息,然后单击“下一步”。 在“证书颁发机构”下拉列表框中,验证选中了您的证书颁发机构,然后单击“下一步”。 单击“下一步”以提交请求,然后单击“完成”以关闭向导。 在“目录安全”选项卡上,在“安全通信”组框中单击“编辑”。 依次选择“需要安全通道 (SSL)”和“需要 128 位加密”,然后单击“确定”。 在“目录安全”选项卡上,在“Anonymous access and authorization control”(匿名访问和授权控制)组框中单击“编辑”。 选择“基本身份验证(明文发送密码)”,然后单击“是”确认警告。 清除所有其他选项,然后单击“确定”。 单击“确定”。 单击“确定”以关闭“继承覆盖”对话框,然后关闭“Internet 服务管理器”。 注意:公共名称是 OWA 服务器的 FQDN,因为它与 ISA Server 上的 OWA 发布规则属性匹配。在发布过程中,ISA Server 检查 OWA Web 证书的有效性以及证书信任链的验证过程和证书过期日期。 OWA 前端服务器和 Exchange 后端服务器之间的加密 您无法使用 SSL 对 OWA 前端服务器和后端服务器之间的数据进行加密。但是,因为前端服务器和后端服务器都运行 Windows 2000,所以您可以使用 IPSec 来进行加密。IPSec 的优点是速度明显超过 SSL。 注意:若要提高性能并减少 IPSec 开销,您应当考虑使用专门的网络适配器将 IPSec 处理过程卸载到该适配器。 您可以使用 IPSec 来控制网络适配器接受哪些协议,阻止或允许使用某些端口,并对其他端口加密。在前端服务器/后端服务器通信的条件下,您需要确保对端口 80 加密。 IPSec 通过 Windows 2000 组策略中定义的 IPSec 策略进行控制。 表4.1:IPSec 策略设置 策略
设置
OWA 前端
端口 80 出站 – 加密
端口 80 入站 – 阻止
后端
端口 80 入站 – 加密
因为前端服务器启动与后端服务器的所有通信,所以可以阻止前端服务器的入站请求。阻止这些请求将避免意外以明文方式传送用户凭据,将前端服务器遭受缓冲区溢出攻击的风险降至最低。 创建 OWA 前端服务器 IPSec 策略 创建和配置的第一个策略将用于 OWA 前端服务器。 若要创建出站 TCP 80 过滤器,请执行以下步骤: 启用“Active Directory 用户和计算机”。 依次展开“成员服务器”、“应用服务器”和“Exchange 2000”。 右键单击“OWA 前端服务器”,然后单击“属性”。 单击“组策略”选项卡。 选择“OWA Front End Incremental GPO”(OWA 前端增量 GPO)。 单击“编辑”。 依次展开“Windows 设置”和“安全设置”,然后右键单击“Active Directory 上的 IP 安全策略”。 单击“Manage IP filter lists and filter actions”(管理 IP 过滤器列表和过滤器操作)。 单击“添加”。 在“名称”框中,键入“Outbound TCP 80 - OWA FE”。 在“描述”框中,键入“This filter matches outbound TCP 80 traffic on the OWA front-end server”。 单击“添加”,然后单击“下一步”。 在“源地址”下拉列表框中,验证显示了“My IP Address”(我的 IP 地址),然后单击“下一步”。 在“目标地址”下拉列表框中,验证显示了“Any IP Address”(任何 IP 地址),然后单击“下一步”。 在“选择协议类型”下拉列表框中,选择“TCP”,然后单击“下一步”。 在“Set the IP protocol port”(设置 IP 协议端口)中,验证选中了“From any port”(从任何端口),然后选择“To this port”(到此端口)并键入 80。 单击“下一步”,然后单击“完成”。 单击“关闭”以关闭 IP 过滤器列表窗口。 若要创建入站 TCP 80 过滤器,请执行以下步骤: 单击“添加”。 在“名称”框中,键入“Inbound TCP 80 - OWA FE”。 在“描述”框中,键入“This filter matches inbound TCP 80 traffic on the OWA front-end server”。 单击“添加”,然后单击“下一步”。 在“源地址”下拉列表框中,选择“Any IP Address”(任何 IP 地址),然后单击“下一步”。 在“目标地址”下拉列表框中,选择“My IP Address”(我的 IP 地址),然后单击“下一步”。 在“选择协议类型”下拉列表框中,选择“TCP”,然后单击“下一步”。 在“设置 IP 协议端口”中,验证选中了“From any port”(从任何端口),然后选择“To this port”(到此端口)并输入 80。 单击“下一步”,然后单击“完成”。 单击“关闭”。 单击“关闭”。 若要创建和入站 TCP 端口 80 过滤器一起起作用的阻止操作,请执行以下步骤: 从“组策略”窗口中,右键单击“Active Directory 的 IP 安全策略”,然后选择“Manage IP filter lists and filter actions”(管理 IP 过滤器列表和过滤器操作)。 单击“Manage Filter Actions”(管理过滤器操作)选项卡。 单击“添加”,然后单击“下一步”。 在“名称”框中,键入 Block,然后单击“下一步”。 单击“阻止”,然后单击“下一步”。 单击“完成”。 若要创建和出站 TCP 端口 80 过滤器一起起作用加密操作,请执行以下步骤: 单击“Manage Filter Actions”(管理过滤器操作)选项卡。 单击“添加”,然后单击“下一步”。 在“名称”框中,键入 Encrypt,然后单击“下一步”。 选择“Negotiate security”(协商安全性),然后单击“下一步”。 选择“Do not communicate with computers that do not support IPSec”(不与不支持 IPSec 的计算机通信),然后单击“下一步”。 验证选中了“High (Encapsulated Secure Payload)”(高(封装的安全负载)),然后单击“下一步”。 单击“编辑属性”,然后单击“完成”。 单击“添加”。 选择“Custom (for expert users)”(自定义(适合专家用户)),然后单击“设置”。 验证只选中了“数据完整性与压缩 (ESP)”。 在“加密算法”中,选择“3DES”。 单击“确定”。 单击“确定”。 选择“自定义”,然后单击“上移”。 单击“确定”。 单击“关闭”。 若要创建 IP 安全策略、应用过滤器并指定操作,请执行以下操作: 右键单击“Active Directory 的 IP 安全策略”,选择“创建 IP 安全策略”,然后单击“下一步”。 在“名称”框中,键入“Block-Encrypt TCP 80 traffic - OWA FE”,然后单击“下一步”。 验证选中了“Activate the default response rule”(激活默认的响应规则),然后单击“下一步”。 验证选中了“Windows 2000 default (Kerberos V5 protocol)”(Windows 2000 默认(Kerberos V5 协议),然后单击“下一步”。 验证选中“编辑属性”,然后单击“完成”。 在“规则”选项卡上,单击“添加”,然后单击“下一步”。 验证选中了“This rule does not specify a tunnel”(该规则没有指定隧道),然后单击“下一步”。 验证“All network connections is selected”(选中所有网络连接),然后单击“下一步”。 验证选中了“Windows 2000 default (Kerberos V5 protocol)”,然后单击“下一步”。 在“IP 过滤器”列表中,选择“Inbound TCP 80 - OWA FE”,然后单击“下一步”。 在“过滤器操作”框中,单击“阻止”,然后单击“下一步”。 验证清除了“编辑属性”,然后单击“完成”。 在“规则”选项卡上,单击“添加”,然后单击“下一步”。 验证选中了“This rule does not specify a tunnel”(该规则没有指定隧道),然后单击“下一步”。 验证选择了“All network connections is selected”(选中所有网络连接),然后单击“下一步”。 验证选中了“Windows 2000 default (Kerberos V5 protocol)”,然后单击“下一步”。 在“IP 过滤器”列表中,选择“Outbound TCP 80 - OWA FE”,然后单击“下一步”。 在“过滤器操作”框中,单击“加密”,然后单击“下一步”。 验证清除了“编辑属性”,然后单击“完成”。 单击“关闭”。 若要对组策略应用出站过滤器,请执行以下操作: 在组策略内容窗格中,右键单击“Block-Encrypt TCP 80 traffic - OWA FE”,然后单击“Assign”(指派)。 关闭“组策略”,然后单击“确定”。 若要对 OWA 前端服务器应用组策略,请执行以下操作: 在 OWA 前端服务器上,启动“命令提示”。 键入“secedit /refreshpolicy machine_policy /enforce”,然后按 ENTER 键。 重新启动服务器。 创建后端服务器 IPSec 策略 后端服务器上的组策略对入站端口 80 的通信进行加密。 若要创建入站 TCP 80 过滤器,请执行以下步骤: 启动“Active Directory 用户和计算机”。 依次展开“成员服务器”、“应用服务器”和“Exchange 2000”。 右键单击“Back-end Servers OU”(后端服务器 OU),然后单击“属性”。 单击“组策略”选项卡。 选择“Back End Incremental GPO”(后端增量 GPO)。 单击“编辑”。 依次展开“Windows 设置”和“安全设置”,然后右键单击“Active Directory 上的 IP 安全策略”。 单击“Manage IP filter lists and filter actions”(管理 IP 过滤器列表和过滤器操作)。 单击“添加”。 在“名称”框中,键入“Inbound TCP 80 - BE”。 在“描述”框中,键入“This filter matches inbound TCP 80 traffic on the Back-end Server”。 单击“添加”,然后单击“下一步”。 在“源地址”下拉列表框中,验证显示“My IP Address”(我的 IP 地址),然后单击“下一步”。 在“目标地址”下拉列表框中,验证显示“Any IP Address”(任何 IP 地址),然后单击“下一步”。 在“选择协议类型”下拉列表框中,选择“TCP”,然后单击“下一步”。 在“设置 IP 协议端口”中,验证选中了“From any port”(从任何端口),然后选择“To this port”(到此端口)并键入 80。 单击“下一步”,然后单击“完成”。 单击“关闭”以关闭 IP 过滤器列表窗口。 若要创建 IP 安全策略、应用过滤器并指定操作,请执行以下操作: 右键单击“Active Directory 的 IP 安全策略”,选择“创建 IP 安全策略”,然后单击“下一步”。 在“名称”框中,键入“Encrypt TCP 80 traffic - BE”,然后单击“下一步”。 验证选中了“Activate the default response rule”(激活默认响应规则),然后单击“下一步”。 验证选中了“Windows 2000 default (Kerberos V5 protocol)”,然后单击“下一步”。 验证选中了“编辑属性”,然后单击“完成”。 在“规则”选项卡上,单击“添加”,然后单击“下一步”。 验证选中了“This rule does not specify a tunnel”(该规则没有指定隧道),然后单击“下一步”。 验证已选中“所有网络连接”,然后单击“下一步”。 验证选中了“Windows 2000 default (Kerberos V5 protocol)”,然后单击“下一步”。 在“IP 过滤器”列表中,选择“Inbound TCP 80 - BE”,然后单击“下一步”。 在“过滤器操作”框中,单击“加密”,然后单击“下一步”。 验证清除“编辑属性”,然后单击“完成”。 单击“关闭”。 若要对组策略应用入站过滤器,请执行以下操作: 在组策略内容窗格中,右键单击“Encrypt TCP 80 traffic - BE”,然后单击“Assign”(指派)。 关闭“组策略”,然后单击“确定”。 若要对后端服务器应用组策略,请执行以下操作: 在 OWA 前端服务器上,启动“命令提示”。 键入“secedit /refreshpolicy machine_policy /enforce”,然后按 ENTER 键。 重新启动服务器。 注意:您最好还要在每个本地计算机上应用 IPSec 设置。这确保在即使访问域控制器的组策略出现问题时仍将继续使用 IPSec。 监视 IP 安全连接 在配置 IPSec 后,通过审核 IPSec 的相关事件和利用 IP 安全监视工具验证它的功能不失为一个好方法。 若要启动并配置 IP 安全监视器,请执行以下操作: 在 OWA 前端或后端服务器上,若要启动 IP 安全监视工具,请依次单击“开始”和“运行”,然后在“打开”框中键入“ipsecmon”。 单击“选项”,然后将“default Refresh Seconds”(默认的刷新秒数)值从 15 更改为 1。 单击“确定”。 若要验证是否成功配置了 IPSec,请执行以下步骤: 通过让用户使用 OWA 发送电子邮件,在 OWA 前端服务器和后端服务器之间产生通信。 切换到 IP 安全监视器,该监视器显示 OWA 前端服务器和后端服务器之间的通信已经加密。 注意:有关 IPSec 的详细信息,请参阅“Internet 协议安全 (IPSec) 循序渐进指南”。参阅本章的“更多信息”一节可获得有关细节。 保护 SMTP 通信安全 每个 Exchange 后端服务器都将运行 SMTP,因为它负责 Exchange 服务器之间和 Internet 上的邮件传输。在本节中,我们将介绍如何给您的网络提供安全的 SMTP 通信,最大程度上减少企业被攻击的风险。 使用 ISA Server 保护 SMTP 安全 对于您的 OWA 前端服务器,利用 ISA Server 的功能可以尽量减少内部防火墙上打开的端口数量。这时,您可以使用 ISA Server 发布功能来发布 SMTP 服务器,将 Exchange 服务器置于防火墙之后。ISA Server 将模拟内部 SMTP 服务器,而无需把 Exchange 置于周边网络之中。 注意:在该配置中,SMTP 的外部 DNS 项目需要引用 ISA Server 上发布的 IP 地址,而不是 SMTP 服务器的地址。 注意:如果无法为布置 ISA Server改变现有的两道防火墙结构,您可以将 ISA Server 放置在内部防火墙之内,并将 TCP 端口 25 向 ISA 服务器开放。 注意:如果您要在端口 25 执行任何形式的身份验证,则应当启用 SMTP 的 SSL 身份验证。 注意:如果 ISA Server 是 ISA 数组的一个活动成员,那么您不可以在该 ISA Server 上发布传出的 SMTP。 使用内容过滤和邮件筛选器 内容过滤启用 SMTP 过滤器,该过滤器接收端口 25 上的传入通信,对其进行检查,并且在规则允许的情况下进行传递。过滤器可以根据发件人的用户名和域名、附件或关键字决定接收或拒绝邮件,还可以一定程度上防范缓冲区溢出攻击。虽然 SMTP 过滤器有全面的功能,但是您还应当安装邮件筛选器。 邮件筛选器是 ISA Server 附带的一个独立实用程序。虽然它可以安装在许多不同的配置中,但是最安全的应用方法是将其与 SMTP 虚拟服务器一起安装在运行 IIS 的服务器上。然后使用该虚拟服务器与 Exchange 通信,以发送和接收电子邮件。它的优点是使您的 Exchange 服务器进一步远离内部网络的边缘。 注意:有关部署邮件筛选器的信息,请参阅知识库文章 Q315132:“HOW TO: Configure SMTP Message Screener in ISA Server 2000”(HOW TO:在 ISA Server 2000 中配置 SMTP 邮件筛选器)。有关更多详细信息,请参见本章末尾的“详细信息”一节。 保护 SMTP 安全的其他方法 通过 ISA Server 发布 SMTP 并使用 SMTP 过滤器和邮件筛选器将帮助您保护 Exchange SMTP 服务器。但是,您还应当考虑其他的操作。 使用独立的 SMTP 网关 作为纵深防御策略的一部分,您最好在网络内部使用独立的 SMTP 网关来保护 Exchange 后端服务器免受 SMTP 攻击。来自 Internet 的所有传入邮件在进入任何 Exchange 服务器前都先经过该服务器。由于该服务器不是 Windows 2000 域的一部分,因此不运行 Exchange。这种方法的优点是外部攻击者试图使用 SMTP 来攻击 Exchange 服务器时将首先遇到独立的 SMTP 服务器。如果该 SMTP 服务器被攻陷,那么虽然会使您无法通过 Internet 发送电子邮件,但是您仍可以发送内部电子邮件。另外,您还可以在该服务器上运行防病毒软件。 注意:有关安装和配置 SMTP 虚拟服务器的详细信息,请参阅知识库文章 Q308161:“HOW TO: Set Up and Configure an SMTP Virtual Server in Windows 2000”(HOW TO: 在 Windows 2000 中安装和配置 SMTP 虚拟服务器)。 防止邮件中继 邮件中继是使用一个中间服务器接收邮件然后将邮件重新发送给其他服务器上的收件人。它可以用于合法目的。例如,当漫游用户不在您的网络中时,他们可能希望连接到 SMTP 服务器以便发送邮件。 如果您选择限制来自网络之外的邮件中继,那么应该严格管理邮件中继,并对需要利用中继的用户进行身份验证(默认情况下启用身份验证)。如果 SMTP 中继的开放范围过大,那么您很快会发现通过您的 SMTP 服务器传递的邮件数量巨大,这会影响环境的性能而且增加在 Internet 上收到的垃圾邮件数量。您还会发现自己被列入了阻止垃圾邮件的黑名单,这甚至会禁止您把合法邮件发送给收件人。 甚至授权的邮件中继也会给您的邮件服务器造成问题。攻击者可利用您的邮件服务器接受经过身份验证的请求的这一情况,尝试针对服务器进行字典攻击。 保护服务器的一个好方法是尽量禁用邮件中继。外部用户发送邮件时不需要直接连接您的 SMTP 服务器,因为它们可以使用 OWA。 若要保护您的 Exchange 服务器防止邮件中继,您可以考虑在内部的 SMTP 虚拟服务器上采用以下措施: 只允许匿名连接您的 SMTP 服务器。 防止身份验证成功的计算机进行中继。 只允许特定 IP 地址的 SMTP 连接。 在 SMTP 服务器的网关上,您需要稍微放宽该设置。具体的设置将取决于您的邮件流量和 ISP 的邮件服务器的配置。但是,提高安全性的最好方法是完全锁定您的系统,以便防止中继并进一步防止暴露允许电子邮件成功传输需要的最低设置。 注意:如果您要支持 IMAP 和 POP3,那么已通过身份验证的计算机会需要 SMTP。如果您选择启用这些协议,您应当考虑为此通信创建独立的虚拟服务器,并使用 SSL 保护虚拟服务器。 注意:有关在 Exchange 中防止不需要的 SMTP 中继的详细信息,请参阅 TechNet 文章“Controlling SMTP Relaying in Microsoft Exchange”(控制 Microsoft Exchange 中的 SMTP 中继)和知识库文章 Q319356:“HOW TO: Prevent Unsolicited Commercial E-Mail in Exchange 2000”(HOW TO: 在 Exchange 2000 中防止垃圾广告邮件)。 总结 除非您采取措施保护 Exchange 的数据流安全,否则不能认为您的 Exchange 环境是安全的。如果您允许 OWA 暴露在 Internet 上,则保护 Exchange 数据流安全是非常重要的,因为如果没有适当的安全保护,那么密码将以明文形式在 Internet 上和内部网络中传递。应用本章中的指导可以提高您的 Exchange 通信的安全保护。
,