保护 Exchange 通信安全(2)

之间传输的数据。当 Internet 上的 Web 浏览器客户端使用 HTTP 通过 OWA 访问 Exchange 时，将出现以下情况：

• HTTP 请求从 Web 浏览器发送到 ISA Server。假如 ISA 发布规则允许，请求就会传递给 OWA 前端服务器。
• ISA Server 建立一个新的和前端服务器的 HTTP 连接，并将自己的 IP 地址作为源 IP 地址。
• OWA 前端服务器处理 HTTP 请求。作为处理过程的一部分，OWA 前端服务器将：
• 根据全局目录服务器验证用户和联系人的身份，以便确定用户邮箱的位置。
• 解析用户邮箱服务器的 IP 地址。
• OWA 前端服务器建立一个新的和 Exchange 后端服务器的 HTTP 会话。

您需要启用基本的身份验证，这是支持 OWA 的 IIS 配置的一部分。由于用于通信的唯一协议是 HTTP 或 HTTPS，所以集成的 Windows 身份验证不起作用，并且您不能够使用匿名访问，因为这会导致向 Internet 中的任何人开放您的电子邮件环境。

基本的身份验证意味着利用 HTTP 连接，密码和电子邮件将以未加密方式通过 Internet 传递。假如没有使用其他的加密方法，则这些数据包将在 ISA Server 和 OWA 前端服务器之间继续以明文方式进行未加密的传输。在 OWA 执行身份验证后，同样的未加密信息（包括密码）将通过 HTTP 在 OWA 前端服务器和后端服务器之间发送。为防止这种情况发生，必须在 Web 浏览器和 Exchange 后端服务器之间的整个传输路径中对用户凭据进行加密。这能够通过以下操作来实现：

• 使用 SSL 加密保护 Web 浏览器和 ISA Server 之间的通信安全
• 使用 SSL 保护 ISA Server 和 OWA 前端服务器之间的通信安全。
• 使用 IPSec 加密保护 OWA 前端服务器和 Exchange 后端服务器之间的通信安全。

我们将一一说明这些操作。

保护 Web 浏览器和 ISA 服务器之间的通信安全

若要使用 SSL 对在 Web 浏览器和 ISA Server 之间传送的数据进行加密，您需要在 ISA Server 上安装 SSL 证书和合适的 SSL 侦听器。由于使用证书的外部 Web 客户端可能不属于您的企业结构，因此您的证书应该由全球受信任的证书颁发机构 (CA) 颁发。

配置 ISA Server 以支持 SSL 通信

为从 Web 浏览器接收 SSL 请求，能够通过许多方法来配置 ISA Server。ISA Server 能够：

• 接收 SSL 通信并将他们传递给防火墙之内的服务器。
• 对 SSL 通信解密并将他们以未加密方式传递给后端。
• 对 SSL 通信解密并在将他们传递给后端前重新加密。

注意：解密和重新加密 SSL 通信需要 ISA Server SP1 或更高的版本。除非安装 ISA Server SP1 或更高版本，否则以下步骤将无法正常工作。

在这三种方法中，最安全的方法是先对数据包解密然后重新加密，因为这种方法允许 ISA Server 检查数据有没有漏洞。他还保护数据避免来自 ISA Server 内部的攻击。

注意：某些国家/地区的法律可能会禁止您在网络的中间点对数据进行解密和检查。在采取这种方法前，您应该了解他的法律含义。

注意：若要提高性能并减少 SSL 的开销，您应该考虑使用 SSL 加速器网络适配器。

若要成功地对数据进行加密，您应该确保满足以下条件：

• OWA 的 ISA Server 证书需要有公共名称，即友好名称，该名称和 Web 浏览器用来引用 OWA 资源的完全限定域名称 (FQDN) 相匹配。例如，假如客户端使用的 OWA URL 是 https://mail.nwtraders.com/exchange，则证书的公共名称应为 mail.nwtraders.com。
• 证书必须导入到 ISA Server 的个人 电脑存储区或发布 OWA 资源的服务器中。

  bitsCN.nET中国网管博客

  
  将证书导入 ISA Server 时，务必启用“Mark the private key as exportable”（标记此私钥为可导出的）。
• 为避免意外传送明文密码，ISA Server 应该只允许使用安全通道，拒绝已发布 OWA 站点的明文 HTTP 连接。

ISA Server 使用 Web 发布规则以便 Internet 客户端能够使用 OWA 服务器。但是，在创建 Web 发布规则前，必须在 ISA Server 做好 Web 发布的准备。这能够通过配置“传入 Web 请求”和“传出 Web 请求”来完成。

注意：在完成以下步骤前，您需要导入外部证书。

若要配置传入 Web 请求，请执行以下步骤：

1. 启动“ISA 管理”。
2. 右键单击 ISA Server 并选择“属性”。
3. 单击“传入 Web 请求”选项卡。
4. 选择“Configure listeners individually per IP Address”（单独配置每个 IP 地址的监听程式），然后单击“添加”。
5. 选择您的 ISA Server 及其外部的 IP 地址。
6. 选择“Use a server certificate to authenticate web clients”（使用服务器证书以验证 Web 客户）。
7. 单击“选择”，然后选择 FQDN 客户端将用来访问 SSL 站点的证书。
8. 单击“确定”。
9. 选择“Enable SSL Listeners”（启用 SSL 监听器）。
10. 单击“确定”。
11. 单击“确定”。
12. 单击“保存更改并重新启动服务”，然后单击“确定”。

若要配置传出 Web 请求，请执行以下步骤：

注意：执行以下步骤将禁止内部网络的用户使用 ISA Server 作为代理服务器来访问 Internet 上的 Web 站点。对于通过 ISA 访问 OWA 来说，是否执行该步骤都无关紧要，但该步骤能够作为附加的安全保护。

1. 启动“ISA 管理”。
2. 右键单击 ISA 服务器并选择“属性”。
3. 单击“传出 Web 请求”选项卡。
4. 选择“Configure listeners individually per IP Address”（单独配置每个 IP 地址的监听程式），确信没有列出任何 IP 地址，然后单击“确定”。
5. 单击“保存更改并重新启动服务”，然后单击“确定”。

您现在就做好了为支持 OWA 配置 Web 发布的准备。

若要为 OWA 配置 Web 发布，请执行以下步骤：

1. 在“ISA 管理”中，展开 ISA Server，然后展开“发布”。
2. 右键单击“Web 发布规则”，选择“新建”，然后选择“规则”
3. 提供一个名称，比如 OWA - 然后单击“下一步”。

   标签：

   版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
   特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有