本模块讲述了如何使 Microsoft? Exchange 服务器和客户端之间的通信更加安全。本模块还说明了如何在 Microsoft Outlook? 消息传递和协作客户端和服务器之间启用加密的远程过程调用 (RPC) 通讯。本模块提供了有关使用 Microsoft Internet Security and Acceleration (ISA) 服务器来确保从 Web 客户端到 Exchange 服务器之间的通讯安全的详细指导。本模块还解释了 Exchange 前端/后端拓扑结构,以及如何使用这种拓扑结构来进一步确保客户端/服务器通讯的安全。最后,讲述了一些确保简单邮件传输协议 (SMTP) 通讯安全的方法。
目标
使用本模块可以:
对 Outlook 2002 和 Exchange 之间的 RPC 通信进行加密。
使用 Outlook 2002 对邮件进行数字签名和加密。
使用带有安全套接字层 (SSL) 和不带安全套接字层 (SSL) 的 ISA 服务器确保 Web 浏览器与 Exchange 服务器之间的通信安全。
使用 SSL 对 ISA 服务器和 Outlook Web Access (OWA) 前端服务器之间的通信进行加密。
本模块适用于下列产品和技术:
Microsoft Exchange Server 2000
Microsoft Outlook 2002
Microsoft Windows? 2000 操作系统 Active Directory? 目录服务
Microsoft Internet Security and Acceleration (ISA) 服务器
要提高任何网络的安全性,不能只研究计算机本身的安全性,还应研究在这些计算机之间所传输的数据的安全性。对于任何系统,最好的方法都是了解可用的功能、研究所需要的功能,同时考虑任何一项功能所带来的危险。
在本指南中,我们假设您需要的功能为:能够通过 Internet 发送和接收电子邮件,并且能够使用 Outlook Web Access 通过 Internet 访问 Exchange。如果您不需要该功能,则能够更加完全地锁定您的系统。另一方面,如果您需要 POP3 和 IMAP4 功能,则需要使环境更开放些以便容纳这些功能。
本指南建议的前端/后端环境使您能够向 Internet 发送邮件以及从 Internet 接收邮件,并且能够通过 Internet 提供 Exchange 访问。本模块讲述了如何确保这种通信的安全,还详细讲述了如何确保客户端上通信的安全。
注意:通过使用 ISA 服务器提供的 Exchange 远程过程调用 (RPC) 应用程序筛选器,可以通过 Internet 访问 Outlook。这种访问 Exchange 的方法不属于本指南的讨论范围。请参阅“更多信息”部分中列出的“Configuring and Securing Microsoft Exchange 2000 Server and Clients”白皮书(英文),以及《Microsoft Exchange 2000 Server Hosting Series》(Microsoft Press,ISBN: 0-7356-1829-1 和 0-7356-1830-5)(英文)。
在 Outlook 2002 中确保通信的安全
在 Outlook 2002 中,可以采用一些方法来提高通信的安全性。包括:
对 Outlook 2002 和 Exchange 服务器之间的 MAPI 连接进行加密
使用 S/MIME 证书对邮件进行签名和加密 对 Outlook 2002 和 Exchange 服务器之间的 MAPI 连接进行加
Windows 2000 具有一个内置的安全功能,可允许对 RPC 通信进行 128 位加密。MAPI 连接是通过 RPC 进行的,因此您可以利用此功能来提高从 Outlook 2002 客户端到 Exchange 服务器之间的连接的安全性。
为了将在内部防火墙上需要打开的端口数量降到最低,可以使用应用层防火墙,如 Microsoft Internet Security and Acceleration (ISA) Server。ISA 服务器使您能够将 SMTP 服务器和 OWA 前端服务器都放在防火墙之后。使用服务器发布和 Web 发布规则,ISA 服务器可在不将内部服务器放在 DMZ 中的情况下对外模拟这些服务器。
注意:有关用于前端服务器和其他服务器之间通信的端口列表,请参阅本模块末尾“更多信息”中列出的“Exchange 2000 Front-end and Back-end Topology”白皮书(英文)。
图 1 所示为一个正在向 Internet 上的 OWA 客户端发布 OWA 服务器的 ISA 服务器:
图 1(点击看大图)
确保防火墙结构的安全
注意:在此配置中,用于前端 OWA 服务器的外部 DNS 条目需要引用在 ISA 服务器上发布的 IP 地址,而不是该 OWA 前端服务器的地址。
注意:如果无法对现有的两个防火墙结构进行更改以配合 ISA 服务器,可以将 ISA 服务器放置在当前内部防火墙的内部,并通过 TCP 端口 443 到达该 ISA 服务器。
防火墙有助于保护服务器免受攻击的损害。但是,您还需要对传输时进出您的服务器的数据进行保护。当 Internet 上的 Web 浏览器客户端使用 HTTP 通过 OWA 访问 Exchange 时,会发生下面的情形:
从该 Web 浏览器向该 ISA 服务器发送一个 HTTP 请求。如果这些请求符合 ISA 发布规则,则会被传递到 OWA 前端服务器。
ISA 服务器建立一个到该前端服务器的新的 HTTP 连接,并使用它自己的 IP 地址作为源 IP 地址。
作为支持 OWA 的 Microsoft Internet 信息服务 (IIS) 的一部分,您需要启用基本身份验证。由于通信所使用的协议不是 HTTP 就是 HTTPS,因此集成 Windows 身份验证将无法工作,而且您不得使用匿名访问,因为这样会使 Internet 上的任何人都可以访问您的电子邮件环境。
基本身份验证意味着,在一个 HTTP 连接上,密码和电子邮件将以未加密的形式在 Internet 上进行传递。如果不使用任何加密方法,这些数据包会继续以明文形式在 ISA 服务器和 OWA 前端服务器之间进行未加密传输。OWA 执行验证之后,这些未加密的信息(包括密码)将原样在 OWA 前端服务器和后端服务器之间以 HTTP 形式进行发送。为了防止发生这种情况,在 Web 浏览器和后端 Exchange 服务器之间的整个路径上对用户凭据进行加密是至关重要的。这可以通过下列操作来完成:
使用 SSL 加密确保 Web 浏览器和 ISA 服务器之间通信的安全。
使用 SSL 确保 ISA 服务器和 OWA 前端服务器之间通信的安全。
使用 IPSec 确保 OWA 前端服务器和后端 Exchange 服务器之间通信的安全。
我们将逐一讨论上述过程。
确保 Web 浏览器和 ISA 服务器之间通信的安全
要使用 SSL 对 Web 浏览器和 ISA 服务器之间的数据进行加密,您需要在该 ISA 服务器上和相应的 SSL 侦听器上安装 SSL 证书。您的证书应当由一个全球受信任的 CA 颁发,因为该证书会被一些可能不属于您组织基础结构的外部 Web 客户端使用。
配置 ISA 服务器以支持 SSL 通信
有很多方式可用来将 ISA 服务器配置为接受来自 Web 浏览器的 SSL 请求。它可以:
接收 SSL 通信,并将这些通信传递到防火墙内部的服务器。
对 SSL 通信进行解密,并将这些通信以非加密的形式传递到后端。
对 SSL 通信进行解密,并在将它们传递到后端之前进行重新加密。
注意:对 SSL 解密和重新加密需要 ISA Server SP1 或更高版本。只有安装了 ISA Server SP1 或更高版本之后,下面的过程才能正确运行。
在这三种方法中,最安全的方法是对数据包进行解密,然后再重新加密,因为这使得 ISA 服务器能够检查这些数据,验证是否存在漏洞。它还可以保护数据免受来自 ISA 服务器内部的攻击的损害。
ISA 服务器使用 Web 发布规则来使 OWA 服务器可用于 Internet 客户端。但是,在创建 Web 发布规则之前,必须首先在 ISA 服务器上准备好 Web 发布。这是通过配置“Incoming Web Requests”(外来 Web 请求)和“Outgoing Web Requests”(外出 Web 请求)来完成的。
注意:完成下面的过程之前,您需要导入您的外部证书。
配置“Incoming Web Requests”(外来 Web 请求)
1.启动“ISA Management”(ISA 管理)。
2.右键单击您的 ISA 服务器,选择“Properties”(属性)。
3.单击“Incoming Web Requests”(外来 Web 请求)选项卡。
4. 选择“Configure listeners individually per IP Address”(为每个 IP 地址单独配置侦听器),然后单击“Add”(添加)。
5.选择您的 ISA 服务器,然后选择您的 ISA 服务器的外部 IP 地址。
6.选择“Use a server certificate to authenticate web clients”(使用一个服务器证书验证多个 Web 客户端)。
7.单击“Select”(选择)选择 FSQN 客户端将要用于访问该 SSL 站点的证书。
8.单击“OK”(确定)。
9.选择“Enable SSL Listeners”(启用 SSL 侦听器)。
10.单击“OK”(确定)。
11.单击“OK”(确定)。
12.单击“Save the changes and restart the service(s)”(保存更改并重新启动服务),然后单击“OK”(确定)。
配置“Outgoing Web Requests”(外出 Web 请求)
注意:执行下面的过程会阻止内部网络中的用户使用该 ISA 服务器作为访问 Internet 上 Web 站点的代理服务器。要使得 OWA 能够通过 ISA 使用,则不需要此过程,但是包括此过程是为了获得附加的安全性。
1.启动“ISA Managment”(ISA 管理)。
2.右键单击您的 ISA 服务器,选择“Properties”(属性)。
3.单击“Outgoing Web Requests”(外出 Web 请求)选项卡。
4.选择“Configure listeners individually per IP Address”(为每个 IP 地址单独配置侦听器),确保没有列出任何 IP 地址,然后单击“OK”(确定)。
5.单击“Save the changes and restart the service(s)”(保存更改并重新启动服务),然后单击“OK”(确定)。
您就可以配置支持 OWA 的 Web 发布了。
配置用于 OWA 的 Web 发布
1.在“ISA Management”(ISA 管理)中,展开您的 ISA 服务器,然后展开“Publishing”(发布)。
6.选择“Redirect the request to this internal Web server (name or IP Address)”(将请求重定向到此内部 Web 服务器(名称或 IP 地址)),然后单击“Browse”(浏览),选择您的 OWA 前端服务器。
7.选择“Send the original host header to the publishing server instead of the actual one (specified above)”(将原始主机标头发送到发布服务器,而不是实际的服务器(上面指定的服务器)),然后单击“Next”(下一步)。
11.选择“Require secure channel (SSL) for published site”(需要用于所发布站点的安全通道 (SSL)),选择“Require 128-bit encryption”(需要 128 位加密),然后单击“OK”(确定)。
注意:您还需要在环境中的相应路由器和防火墙上为端口 80 和端口 443 配置合适的规则。
注意:有关使用 ISA 服务器发布 SMTP 和 OWA 的详细信息,请参阅知识库文章 Q290113,“How to Publish Outlook Web Access Behind ISA Server”(英文)和 Q308599 “How to Configure ISA Server to Publish Exchange for OWA”(英文)。
在 ISA 服务器和 OWA 前端服务器之间进行加密
要对 ISA 服务器和 OWA 前端服务器之间的 HTTP 通讯进行加密,您需要在该 OWA 前端服务器上安装 SSL 证书。ISA 服务器和 OWA 前端服务器是您组织的基础结构的一部分,因此该 OWA 前端证书可由您组织的内部根 CA 颁发,也可以由它的任意一个受信任从属证书颁发机构颁发。
