保护 Exchange 通信安全

2008-02-23 06:06:20来源：互联网 阅读 ()

当提高网络的安全保护时，您不但需要检查电脑本身的安全性，还要检查电脑之间互相传输的数据是否安全。对于任何系统，最好的入手点是检查他有哪些可用功能，还需要什么功能，并考虑每个功能构成的风险。

在本指南中，我们假定您需要以下功能：a) 通过 Internet 发送和接收电子邮件，b) 使用 Outlook Web Access 通过 Internet 访问 Exchange。假如您无需这些功能，那么能够锁定更多的系统功能。反之，假如您需要 POP3 和 IMAP4 功能，那么就需要开放系统环境以便实现这些功能。

本指南中建议的前端/后端服务器环境允许您通过 Internet 发送邮件，还允许通过 Internet 访问 Exchange。本章介绍如何保护通信安全，并且还分析如何保护客户端的通信安全。

注意：使用 ISA Server 附带的 Exchange 远程过程调用 (RPC) 应用程式过滤器也能够通过 Internet 访问 Outlook。但是，本指南不介绍这种访问 Exchange 的方法。请参阅本章“更多信息”一节列出的“配置和保护 Microsoft Exchange 2000 Server和客户端安全”白皮书和《Microsoft Exchange 2000 Server 托管系列文章》（微软出版社，ISBN: 0-7356-1829-1 和 0-7356-1830-5）。

保护 Outlook 2002 中的通信安全

在 Outlook 2002 中，您能够采取许多方法来提高通信安全。他们包括：

• 对 Outlook 2002 和 Exchange 服务器之间的 MAPI 连接进行加密
• 通过 S/MIME 证书对邮件进行签名和加密

对 Outlook 2002 和 Exchange 服务器之间的 MAPI 连接进行加密

Windows 2000 的内置安全功能能够为 RPC 通信提供 128 位加密。由于 MAPI 连接通过 RPC 进行，因此您能够利用这种内置安全功能来提高对 Outlook 2002 客户端到 Exchange 服务器之间连接的安全保护。

若要对 Outlook 2002 到 Exchange 服务器之间的 MAPI 连接启用 RPC 加密，请执行以下步骤：

1. 在 Outlook 2002 中，单击“工具”，然后单击“电子邮件帐户”。
2. 单击“下一步”。
3. 确保选中了 Exchange 服务器，然后单击“更改”。
4. 单击“其他配置”。
5. 单击“高级”选项卡。
6. 选中“使用网络时”。
7. 单击“确定”。
8. 单击“下一步”。
9. 单击“完成”。

注意：在 Outlook 2002 中配置用户配置文档时，也能够指定该配置。

RPC 加密只对从 MAPI 客户端到 Exchange 服务器之间的数据进行加密。他不对邮件本身进行加密。

对邮件进行签名和加密

Outlook 2002 在向内部或外部收件人发送邮件时，可对邮件进行签名和加密。使用这种加密功能时，需要具备证书。假如您要向 Internet 收件人发送签名和/或加密过的电子邮件，那么需要使用第三方软件供给商提供的认可证书（也称为数字标识）。

您在客户端上安装了证书之后，就能够开始使用 S/MIME 发送经过签名和加密的邮件了。只有获得其他用户的公钥后，才能够给他们发送加密邮件。您能够先让其他用户给您发送一个签名邮件，然后将该用户添加到您的联系人列表。现在，您就获得了他们的公钥。

注意：有关对邮件进行签名和加密的周详信息，请参阅知识库文章 Q286159：“Encryption and Message Security Overview”（加密和邮件安全性概述）。

密钥管理服务

假如您希望在 Exchange 组织内部，用户之间日常发送的邮件都是经过签名和加密的邮件，那么您应当考虑使用 Exchange 2000 提供的密钥管理服务。该服务使用 Windows 2000 证书服务，不但具备公钥访问功能，还能够对私钥进行安全的集中式访问。这能够帮助客户顺利地访问经过签名和加密的邮件，并允许他们把这些邮件发送给全球通讯簿 (GAL) 中任何其他启用安全保护的收件人。

注意：假如您在使用密钥管理服务器的同时，使用从属于一个第三方证书颁发机构 (CA) 的 CA，那么您能够将密钥管理服务和 Internet 上的其他服务集成。

保护 OWA 通信安全

起初看来，和 OWA 的通信很简单。只需通过 Web 浏览器和 OWA 服务器通信，就可发送电子邮件。一般通过端口 80 发送电子邮件，假如通信安全，也可使用端口 443 发送邮件。但是，情况远非看起来那么简单。当客户端通过端口 80 或 443 连接到前端服务器时，这些前端服务器需要和他们所在域中的域控制器进行通信以便验证用户身份。他们还需要和 Exchange 后端服务器通信，以便实际访问适当邮箱或公用文档夹中的信息。

将 OWA 前端服务器放置在周边网络（也称为 DMZ）之中，并且把后端服务器放置在内部防火墙之内，通过这种方法 OWA 前端服务器就能够得到保护。但是，为确保这种方法发挥作用，需要在内部防火墙上打开大量的端口。

使用 ISA Server 保护 OWA 安全

为尽量减少在内部防火墙上打开的端口数量，您能够使用应用层防火墙，比如 Microsoft Internet Security and Acceleration (ISA) Server。ISA Server 使您能够将 SMTP 服务器和 OWA 前端服务器都放置在防火墙后面。利用服务器发布和 Web 发布规则，ISA Server 对外模仿内部服务器，而不将这些服务器放在 DMZ 中。

注意：有关用于前端服务器和其他服务器之间通信的端口列表，请参见本章末尾“更多信息”一节列出的“Exchange 2000 前端和后端拓扑”白皮书。

下图显示 Internet 上向 OWA 客户端发布 OWA 服务器的 ISA Server：

bbs.bitsCN.com
图1 安全的防火墙结构

注意：在该配置中，OWA 前端服务器的外部 DNS 项目需要引用在 ISA Server 上发布的 IP 地址，而不是 OWA 前端服务器的地址。

注意：假如无法为布置 ISA Server 改变现有的两道防火墙结构，您能够将 ISA Server 放置在当前的内部防火墙之内，并将 TCP 端口 443 向 ISA Server 开放。

防火墙有助于保护您的服务器避免遭到攻击。但是，您还需要保护在服务器

标签：