保护 Exchange 通信安全

中国网管论坛

因为前端服务器启动和后端服务器的任何通信，所以能够阻止前端服务器的入站请求。阻止这些请求将避免意外以明文方式传送用户凭据，将前端服务器遭受缓冲区溢出攻击的风险降至最低。

创建 OWA 前端服务器 IPSec 策略

创建和配置的第一个策略将用于 OWA 前端服务器。

若要创建出站 TCP 80 过滤器，请执行以下步骤：

1. 启用“Active Directory 用户和电脑”。
2. 依次展开“成员服务器”、“应用服务器”和“Exchange 2000”。
3. 右键单击“OWA 前端服务器”，然后单击“属性”。
4. 单击“组策略”选项卡。
5. 选择“OWA Front End Incremental GPO”（OWA 前端增量 GPO）。
6. 单击“编辑”。
7. 依次展开“Windows 配置”和“安全配置”，然后右键单击“Active Directory 上的 IP 安全策略”。
8. 单击“Manage IP filter lists and filter actions”（管理 IP 过滤器列表和过滤器操作）。
9. 单击“添加”。
10. 在“名称”框中，键入“Outbound TCP 80 - OWA FE”。
11. 在“描述”框中，键入“This filter matches outbound TCP 80 traffic on the OWA front-end server”。
12. 单击“添加”，然后单击“下一步”。
13. 在“源地址”下拉列表框中，验证显示了“My IP Address”（我的 IP 地址），然后单击“下一步”。
14. 在“目标地址”下拉列表框中，验证显示了“Any IP Address”（任何 IP 地址），然后单击“下一步”。
15. 在“选择协议类型”下拉列表框中，选择“TCP”，然后单击“下一步”。
16. 在“Set the IP protocol port”（配置 IP 协议端口）中，验证选中了“From any port”（从任何端口），然后选择“To this port”（到此端口）并键入 80。
17. 单击“下一步”，然后单击“完成”。
18. 单击“关闭”以关闭 IP 过滤器列表窗口。

若要创建入站 TCP 80 过滤器，请执行以下步骤：

1. 单击“添加”。
2. 在“名称”框中，键入“Inbound TCP 80 - OWA FE”。
3. 在“描述”框中，键入“This filter matches inbound TCP 80 traffic on the OWA front-end server”。
4. 单击“添加”，然后单击“下一步”。
5. 在“源地址”下拉列表框中，选择“Any IP Address”（任何 IP 地址），然后单击“下一步”。
6. 在“目标地址”下拉列表框中，选择“My IP Address”（我的 IP 地址），然后单击“下一步”。
7. 在“选择协议类型”下拉列表框中，选择“TCP”，然后单击“下一步”。
8. 在“配置 IP 协议端口”中，验证选中了“From any port”（从任何端口），然后选择“To this port”（到此端口）并输入 80。
9. 单击“下一步”，然后单击“完成”。
10. 单击“关闭”。
11. 单击“关闭”。

若要创建和入站 TCP 端口 80 过滤器一起起作用的阻止操作，请执行以下步骤：

1. 从“组策略”窗口中，右键单击“Active Directory 的 IP 安全策略”，然后选择“Manage IP filter lists and filter actions”（管理 IP 过滤器列表和过滤器操作）。
2. 单击“Manage Filter Actions”（管理过滤器操作）选项卡。
3. 单击“添加”，然后单击“下一步”。
4. 在“名称”框中，键入 Block，然后单击“下一步”。
5. 单击“阻止”，然后单击“下一步”。
6. 单击“完成”。

若要创建和出站 TCP 端口 80 过滤器一起起作用加密操作，请执行以下步骤：

1. 单击“Manage Filter Actions”（管理过滤器操作）选项卡。
2. 单击“添加”，然后单击“下一步”。
3. 在“名称”框中，键入 Encrypt，然后单击“下一步”。
4. 选择“Negotiate security”（协商安全性），然后单击“下一步”。
5. 选择“Do not communicate with computers that do not support IPSec”（不和不支持 IPSec 的电脑通信），然后单击“下一步”。
6. 验证选中了“High (Encapsulated Secure Payload)”（高（封装的安全负载）），然后单击“下一步”。
7. 单击“编辑属性”，然后单击“完成”。
8. 单击“添加”。
9. 选择“Custom (for expert users)”（自定义（适合专家用户）），然后单击“配置”。
10. 验证只选中了“数据完整性和压缩 (ESP)”。
11. 在“加密算法”中，选择“3DES”。
12. 单击“确定”。
13. 单击“确定”。
14. 选择“自定义”，然后单击“上移”。
15. 单击“确定”。
16. 单击“关闭”。

若要创建 IP 安全策略、应用过滤器并指定操作，请执行以下操作：

1. 右键单击“Active Directory 的 IP 安全策略”，选择“创建 IP 安全策略”，然后单击“下一步”。
2. 在“名称”框中，键入“Block-Encrypt TCP 80 traffic - OWA FE”，然后单击“下一步”。
3. 验证选中了“Activate the default response rule”（激活默认的响应规则），然后单击“下一步”。
4. 验证选中了“Windows 2000 default (Kerberos V5 protocol)”（Windows 2000 默认（Kerberos V5 协议），然后单击“下一步”。
5. 验证选中“编辑属性”，然后单击“完成”。
6. 在“规则”选项卡上，单击“添加”，然后单击“下一步”。

   文章整理：西部数码--专业提供域名注册、虚拟主机服务
   http://www.west263.com
   以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!