使用 IPSec 锁定 TCP 端口 25

 

上一次修改主题: 2005-04-29

在一个环境中,只有某些系统侦听并响应 TCP 端口 25 上的请求。在 Microsoft 环境中,通常只有运行 Internet 信息服务 (IIS) 的服务器以及域控制器和 Exchange 服务器使用 TCP 端口 25。在其他所有系统上禁止侦听 TCP 端口 25 时,您就可以通过删除恶意代码可能使用的一个攻击矢量来增强环境的安全性。

此部分提供了设置 Internet 协议安全 (IPSec) 以阻止 TCP 端口 25 的一组常规步骤。IPSec 是 Windows Server 操作系统中包含的一组技术,它使管理员可以基于筛选器执行特定的操作,例如,身份验证、阻止通信,以及加密通信(“所有通信都在 TCP 25 上发生”)。

这些步骤基于在 Windows Server 2003 Security Guide(英文)和 Exchange Server 2003 Security Hardening Guide中定义的体系结构。此外,这些步骤还假定所有工作站都在域中一个名为 Workstations 的中心组织单位中。如果您未按照 Windows Server 2003 Security Guide 和“Exchange Server 2003 安全强化指南”中的部署建议配置体系结构,则应将此步骤用作测试和构建您自己的 IPSec 策略的基础。无论在哪一种情况下,都建议您在部署 IPSec 策略之前先完成测试。

认识到部署策略对您组织的潜在影响是很重要的。按前面所指出的进行实施后,该策略将阻止进出“Workstation”组织单位中的所有计算机的所有 SMTP 通信。如果您的组织使用 IMAP 或 POP 作为电子邮件传递协议,这些客户端将不会工作。此外,如果禁用 SMTP,则其他应用程序(如行业工具和自动邮件传递程序)也可能失败。

note注意:
通过组策略实现的 IPSec 策略是可继承的,但是它们不合并。如果应用了多个 IPSec 组策略,则最后一个应用于计算机的组策略将生效。

有关如何使用 IPSec 来阻止 TCP 端口 25 上的 SMTP 通信的详细步骤,请参阅如何创建阻止 TCP 25 IPSec 策略

资源

虽然在如何创建阻止 TCP 25 IPSec 策略中所给出的步骤将完成使用 IPSec 锁定 TCP 端口 25 的基本步骤,但是,建议您熟悉 IPSec 及其所提供的其他服务,如身份验证和加密。以下文档介绍了 IPSec: