保护前端服务器与其他服务器的通信

 

上一次修改主题: 2005-05-24

前端服务器与任何前端服务器与其通信的服务器(例如后端服务器、域控制器和全局编录服务器)之间的 HTTP、POP 和 IMAP 通信未加密。前端服务器和后端服务器位于受信任的物理网络或交换网络时,这不是问题。但是,如果前端服务器和后端服务器保留在独立的子网中,网络通信可能会通过不安全的网络区域。前端服务器与后端服务器之间的物理距离越远,安全风险就越大。在此例中,建议加密此通信,以保护密码和数据。

Windows 支持 IPSec,IPSec 是一项 Internet 标准,允许服务器加密任何 IP 通信(使用广播 IP 地址或多播 IP 地址的通信除外)。通常,使用 IPSec 来加密 HTTP 通信;但是,也可使用 IPSec 来加密所有通信。

使用 IPSec 可以执行下列操作:

  • 配置两台要求访问受信任网络的 Windows 的服务器。
  • 交换禁止修改的数据(对每个数据包使用加密校验和)。
  • 加密两台服务器之间的任何 IP 层通信。

在前端/后端拓扑中,可以使用 IPSec 加密前端服务器与后端服务器之间的所有通信,这些通信不会通过方式进行加密。

使用 IPSec 保护数据的方法取决于使用的协议:验证头 (AH) 或封装式安全措施负载 (ESP)。使用 AH 不加密数据包;AH 为 IP 数据包添加校验和。AH 保证数据包来自预期主机、未被冒充并且在传输中未被修改。AH 使用 IP 协议 51。ESP 使用 IP 协议 50,加密 IP 数据包的全部内容。两种形式的 IPSec 均提供可靠并且可信的通信信道,攻击者无法轻松地插入数据或中断。

IPSec 加密影响前端服务器和后端服务器的性能;但是,影响性能的精确程度取决于使用的加密类型。

应在后端服务器上配置 IPSec,以便在收到 IPSec 通信请求时正确地做出响应。但是,后端服务器不应要求使用 IPSec 加密来自所有客户的所有通信。

默认情况下,Windows 安装三种 IPSec 策略。对后端服务器选择“客户端(仅响应)”策略。在后端服务器上启用此策略后,前端服务器可以使用 IPSec 与后端服务器安全地通信,而其他客户端(包括早期版本的 MAPI 客户端,例如 Microsoft® Office Outlook® 2002)和服务器不需要使用 IPSec 即可与后端服务器通信。

在前端服务器与后端服务器之间使用防火墙或筛选路由器时,筛选器必须允许 IPSec 通过。

note注意:
如果外围网络与公司网络之间存在网络地址转换 (NAT) 服务器,则无法使用 IPSec。

使用 IPSec 时,如下所述配置端口:

  • HTTP(TCP 端口 80)   不再需要 HTTP(TCP 端口 80),应阻止该端口。
  • 其他协议端口   如果使用 IPSec 加密所有通信,则不需要其他协议端口(Kerberos 可能除外)。
  • 500/UDP   在 500/UDP 打开 IPSec 协商端口(必需)。500/UDP 是众所周知的 Internet 为 Internet 密钥交换 (IKE) 标准(在 RFC 2409 中定义)分配的端口。此标准使用 UDP(而不是 TCP/IP)来避免依赖于 TCP/IP 连接的安全漏洞。IKE 为协商数据包提供强大的安全保护。IKE 建立并维护 IPSec 连接,即安全关联。
  • IP 协议 50 或 51   允许 IP 协议 50 (AH) 或 IP 协议 51 (ESP),取决于使用的协议。
  • UDP 端口 88 和 TCP 端口 88   Kerberos 通信使用 UDP/TCP 协议源端口 88 和目标端口 88。Kerberos 本身是安全协议,因此,即使 Microsoft® Windows 2000 Server 中的 IPSec 筛选器包含 IPSec 端口,也不会包含 Kerberos。因此,如果在 Windows 2000 Server 上使用 IPSec,则仍然需要打开 UDP 端口 88 和 TCP 端口 88。此外,可通过设置“NoDefaultExempt”注册表项,强制 Kerberos 包含在 IPSec 筛选器。在 Windows Server 2003 中,默认情况下,IPSec 筛选器将包含 Kerberos。如果 IPSec 加密中包含 Kerberos,则不能使用 Kerberos 验证 IPSec 会话本身。需要使用证书或预共享密钥。
  • 有关为防火墙配置 IPSec 的详细信息,请参阅 Microsoft 知识库文章 233256“如何使 IPSec 通讯能够通过防火墙”。
  • 有关 IPSec 和 Kerberos 的详细信息,请参阅 Microsoft 知识库文章 810207“Windows Server 2003 中删除 IPSec 默认免除”。
  • 在外围网络中,由于安全原因,可能希望在不丧失筛选通信的能力的情况下提高 IPSec 的安全性。在这种情况下,可以建立一个从前端服务器到内部防火墙的 IPSec 隧道,然后再建立一个从内部防火墙到后端服务器的独立隧道。此方法保护与该线路有关的信息,同时允许您在通信到达内部网络之前,对其使用筛选或入侵检测软件或方法。
note注意:
应用程序(在此例中为 Exchange)将请求传递到 Windows 之后将进行 IPSec 加密,以便发送到服务器。所以,就 Exchange 而言,将使用 TCP/IP 端口 80 通过 HTTP 发出请求。但是,通信在传出服务器之前将被截获,如果配置了 ESP,则可能会加密,并通过独立的信道(IP 协议 50 或 51)发送。因此,加密对于每台服务器上运行的 Exchange 应用程序是透明的,数据从不使用端口 80 对这些应用程序也不是问题。
 
显示: