保护基础结构
上一次修改主题: 2005-05-24
本主题集中讲述为提高安全性可以实现的重要基础结构组件。它讨论了下面的几点:
- 确保 Internet 信息服务 (IIS) 框架的安全性以保护 Internet 服务。
- 防火墙在防止对服务器进行直接 Internet 访问方面的重要性。
- 使用虚拟专用网络作为一种访问专用网络资源的安全手段。
保护 IIS
在 Exchange Server 2003 的传输依赖性的“Internet 信息服务”中已指出,IIS 为 Internet 服务(如 HTTP、Simple Mail Transfer Protocol (SMTP)、Internet 邮件访问协议 (IMAP) 和 Network News Transfer Protocol (NNTP))提供了一个框架。因此,确保 IIS 的安全性至关重要。保护 IIS 可以采用的方法取决于 Exchange 服务器上运行的 Microsoft® Windows® 的版本。Windows 2000 Server 提供 IIS 锁定向导;而 Windows Server 2003™ 则提供 URLScan。应根据 Windows 的版本采用相应的工具来保护 IIS。
在 Windows 2000 Server 上使用 IIS 锁定向导
Windows 2000 Server 为 IIS 5.0 提供的 IIS 锁定向导禁用了不必要的 IIS 服务,从而减少了受到这些服务攻击的可能性。为了抵御攻击者,IIS 锁定向导将 URLScan 与用于 Exchange 服务器的自定义模板集成。IIS 锁定向导主要是为保护 Microsoft Office Outlook® Web Access 服务器和前端服务器而设计的;但是,它也可以用于检查任何 Exchange 服务器上的安全配置。
为了尽可能提高安全性,应在组织中的每一台 Exchange 服务器和域控制器上运行 IIS 锁定向导。可以从 Microsoft 下载中心下载 IIS Lockdown Wizard。
有关 IIS 锁定向导的详细信息,请参阅 Microsoft 知识库中编号为 309508 的文章:“XCCC: IIS Lockdown and URLscan Configurations in an Exchange Environment”(英文)。
运行 IIS 锁定向导两次会存在一些问题。有关运行 IIS 锁定向导两次的详细信息,请参阅 Microsoft 知识库中编号为 317052 的文章:“HOW TO: Undo Changes Made by the IIS Lockdown Wizard”(英文)。
在 Windows Server 2003 上运行 URLScan
IIS 锁定向导不能用于 Windows Server 2003;但是,可以运行 URLScan 以保护 Windows Server 2003 上的 IIS。URLScan 2.5 是一个安全工具,它限定 IIS 将处理的 HTTP 请求类型。URLScan 安全工具通过阻止特定的 HTTP 请求,可以帮助阻止具有潜在危害性的请求到达您的 Exchange 服务器。
有关 URLScan 工具的详细信息,请参阅 Microsoft 知识库中编号为 823175 的文章:“Fine-Tuning and Known Issues When You Use the Urlscan Utility in an Exchange 2003 Environment”(英文)。
使用防火墙
防火墙阻止未经授权的用户访问位于防火墙后面的服务器上的数据。无论您的组织已有现成的网络,还是正在搭建一个新的网络,防火墙的规划都是一个极其重要的考虑因素。
使用诸如 Microsoft Internet Security and Acceleration (ISA) Server 等软件,可以通过一个位置来路由所有的 Internet 通信。虽然这比简单地直接连接到 Internet 需要更多的设置和规划,但是它为组织中的服务器提供了更高的安全性。
可以使用防火墙来仅允许必要的 Internet 通信通过您指定的端口。例如,可以配置网络以便仅允许 SMTP(端口 25)通信通过您的防火墙,从而阻止其他所有端口上的连接。
要使 Exchange 在防火墙环境中正常工作,尤其是对于远程客户端而言,某些要求对于维持 Internet 连接是必不可少的。例如,防火墙可以筛选某些 TCP 端口或者将其全部禁用。因此,对于要通过防火墙进行通信的远程客户端和服务器,不能更改或禁用为 Exchange 支持的各个协议分配的端口。有关 Exchange 所需端口的详细信息,请参阅 SMTP 命令和定义中的“Exchange 常用的端口”,以及 Microsoft 知识库中编号为 278339 的文章:“XGEN: TCP/UDP Ports Used By Exchange 2000 Server”(英文)。虽然该文章是针对 Exchange 2000 Server 撰写的,但其中的信息也适用于 Exchange 2003。
如果需要在防火墙的外围网络中有一个简单的 SMTP 服务器,则通常只需一台 Windows 2000 Server 或 Windows Server 2003 SMTP 服务计算机就足够了。Exchange 2003 Enterprise Server、Windows 2000 Server 或 Windows Server 2003 网络地址转换 (NAT)、Microsoft ISA Server 或者在内部 LAN 中缓存 Internet 内容的任何解决方案都有助于提高安全性。
如果不实现与 Internet 的防火墙连接,则必须考虑安全性将受到的影响。网络内部所有可直接连接到 Internet 的 Exchange 服务器都将暴露在 Internet 中。
使用虚拟专用网络
Windows 2000 Server 和 Windows Server 2003 的 Routing and Remote Access 服务 (RRAS) 是提供路由和网络互联的开放式可扩展平台。RRAS 通过使用安全的虚拟专用网络 (VPN) 连接来提供 Internet 上的远程访问,以及对 LAN 和 WAN 环境中的组织的远程访问。VPN 是公用或专用网络(如 Internet)之间经过身份验证的安全链路。
Windows 2000 Server 和 Windows Server 2003 远程访问服务 (RAS) 和 RRAS 工具提供了一些选项,远程用户可以将这些选项用于拨号 Internet 访问。这些访问服务要求满足下列条件才能正常工作:
- 采用称为点对点隧道协议 (PPTP) 的远程连接方法。
- 具有 Internet 连接(以创建 VPN)。
PPTP 设计用于支持 VPN。由于使用数字用户线 (DSL) 和电缆调制解调器 Internet 连接,因此 VPN 的建立和支持成本比传统的 WAN 低。VPN 消除了长途电话费,并提供了安全连接、相互身份验证以及数据包筛选。
在 PPTP 服务器验证了远程客户端的身份后,VPN 连接便打开了。PPTP 会话用作一个隧道,网络数据包在其中流动。数据包在发送之前先经过加密。然后,数据包通过隧道传递,并在接收时解密。例如,组织可以允许远程客户端使用 VPN 并通过 Internet 连接到公司网络。虽然 VPN 不要求宽带连接,但是宽带 VPN 连接对远程 VPN 用户是有益的。通过使用宽带 VPN 连接,用户可以通过 Internet 连接到公司网络,然后使用公司网络,就好像他们直接登录到了公司网络一样。