帮助保护客户端到前端服务器的通信
上一次修改主题: 2006-07-27
为了帮助保护在客户端与前端服务器之间传输的数据,极力建议前端服务器启用 SSL。此外,为了确保用户数据始终是安全的,应禁止在没有 SSL 的情况下访问前端服务器(这是 SSL 配置中的选项)。使用基本身份验证时,通过使用 SSL 防止网络数据包探查用户密码,从而保护网络通信,这一点至关重要。
.gif "note") 注意: |
|---|
| 如果在客户端与前端服务器之间不使用 SSL,传输到前端服务器的数据将是不安全的。极力建议将前端服务器配置为需要 SSL。 |
建议从众多第三方证书颁发机构购买证书,以获取 SSL 证书。因为大部分浏览器已信任其中的许多证书颁发机构,所以,从证书颁发机构购买证书是首选方法。
此外,可以使用 Microsoft 证书服务器安装自己的证书颁发机构。尽管安装自己的证书颁发机构的成本可能较低,但是浏览器将不信任您的证书,用户将收到警告消息,指出证书不可信。
有关详细信息,请参阅 Microsoft 知识库文章 320291“XCCC:Turning on SSL for Exchange 2000 Server Outlook Web Access”(英文)。
在前端/后端拓扑中配置 SSL
使用前端服务器时,不必在后端服务器上配置 SSL,因为前端服务器不支持使用 SSL 与后端服务器进行通信。可以在后端服务器上配置 SSL,供直接访问后端服务器的客户端使用。
使用 HTTP 访问数据时,后端服务器需要生成绝对 URL,例如用户收件箱中的邮件的 URL 列表。如果在客户端与前端服务器之间使用 SSL,后端服务器需要了解这一点,以便可以使用 HTTPS 而不是 HTTP 来生成 URL。如果在前端服务器上完成 SSL 解密,则前端服务器知道已使用 SSL,并通过将所有请求中表明“Front-End-Https:on”的 HTTP 头传递给后端服务器来通知后端服务器。
如果在客户端与前端服务器之间放置一个独立服务器,用于减轻 SSL 解密的负担,则前端服务器不知道是使用 SSL 发出原始请求。在这种情况下,该服务器必须可以将“Front-End-Https:on”头传递给前端服务器,然后,前端服务器将其传递给后端服务器。ISA Server 支持这样做。有关如何启用此功能的信息,请参阅 Microsoft 知识库文章 307347“Secure OWA Publishing Behind ISA Server May Require Custom HTTP Header”(英文)。
此外,也可以在 SSL 解密服务器与前端服务器之间配置 SSL。但是,如果通过添加独立服务器来减轻 SSL 加密和解密产生的其他通信的负担,则此方法无效。此方法仍允许独立服务器筛选通信。
SSL 加速器
建立和中断 SSL 连接会造成性能下降,因此,您可能希望调查是否需要在前端/后端拓扑中添加 SSL 加速器。
SSL 加速器通常采用下列两种形式:
- 可以在每台前端服务器上安装的 SSL 加速器网卡。
- 在客户端与前端服务器之间放置的独立设备或计算机。例如 Microsoft Internet Security and Acceleration Server 2000 Feature Pack
| 注意: |
|---|
| 有关为 Outlook Web Access 配置 ISA 服务器的信息,请参阅 Microsoft 知识库文章 307347“Secure OWA Publishing Behind ISA Server May Require Custom HTTP Header”(英文)。 |
加速器卡通常在前端服务器直接使用,可以减少加密和解密的开销。这样可以增大每个连接的吞吐量,并减少服务器上的软件必须完成的工作量。
外部加速器设备位于客户端与前端服务器之间。来自客户端的通信在加速器设备上解密,并以未加密形式发送到前端服务器。同样,来自前端服务器的通信以未加密形式发送到发送到加速器设备,然后进行加密,以便传输到客户端。
选择要使用的 SSL 加速器类型时要考虑的最重要因素是拓扑中的前端服务器数。如果有少量前端服务器,则为每台前端服务器添加 SSL 加速器卡可以简单经济地减轻 SSL 的负担。由于在前端服务器上完成 SSL 解密,所以,不必为 Outlook Web Access 对“Front-End-Https:on”头进行额外的配置。
如果有大量前端服务器,考虑到其他加速器卡的成本以及在每台服务器上存储和配置 SSL 证书的管理成本,最终造成并不经济。在这种情况下,对于您的拓扑,独立 SSL 加速器设备可能是更加经济的方法,因为这样只需要配置一次,无论前端服务器数如何。这些设备的成本通常高于加速器卡,所以,请在自己的拓扑中权衡这些方法,以确定要使用的方法。请记住,对于 Outlook Web Access 来说,外部 SSL 设备必须能够通知前端服务器已使用 SSL,头为“Front-End-Https:on”。
减轻 SSL 负担
如果在客户端与前端服务器之间放置独立服务器来减轻 SSL 解密的负担,则前端服务器不知道是使用 SSL 发出原始请求。在这种情况下,该服务器必须可以将“Front-End-Https:on”头传递给前端服务器,然后,前端服务器将其传递给后端服务器。
如果减轻 SSL 负担的服务器不支持添加自定义头,则可以通过在前端服务器上安装 Internet 服务器应用程序编程接口 (ISAPI) 来添加此头。有关信息,请参阅 Microsoft 知识库文章 327800,“How to configure SSL Offloading for Outlook Web Access in Exchange 2000 Server and in Exchange Server 2003”(英文)。此外,还可以在 SSL 解密服务器与前端服务器之间配置 SSL。但是,如果通过添加独立服务器来减轻 SSL 加密和解密产生的其他通信的负担,则此方法无效。此方法仍允许独立服务器筛选通信。
对于您的拓扑,独立 SSL 加速器设备可能是更加经济的方法,因为这样只需要配置一次,无论前端服务器数如何。这些设备的成本通常高于加速器卡,所以,请在自己的拓扑中权衡这些方法,以确定要使用的方法。请记住,对于 Outlook Web Access 来说,外部 SSL 设备必须能够通知前端服务器已使用 SSL,头为“Front-End-Https:on”。
基于表单的身份验证
如果使用基于表单的身份验证来减轻 SSL 的负担,则需要配置 Exchange 前端服务器,以便能够处理此方案。有关详细说明,请参阅使用 SSL 减负时如何启用基于表单的身份验证。