强化前端服务器
上一次修改主题: 2006-01-05
强化 Exchange 前端服务器与强化后端服务器类似,并且可以选择(但推荐)执行在 HTTP 前端服务器上配置和运行 URLScan 的步骤。
概括起来,可以在六个方面进行配置以强化前端服务器:
- 强化服务
许多不使用的服务是默认启用的,如果不需要某一项功能,则应将相应的服务禁用。 - 强化文件访问控制列表 (ACL)
前端服务器的文件 ACL 配置与后端服务器的文件 ACL 配置完全相同。 - 启用其他服务(可选)
启用组织需要的其他任何前端服务。 - 运行 URLScan(可选,但推荐)
虽然运行 URLScan 对于服务运行不是必需的,但是强烈建议将这作为一种机制以进一步强化前端 HTTP 服务器。 - 卸除邮箱存储并删除公用文件夹存储(可选,但推荐)
对于非 SMTP 前端服务器的前端服务器,可以卸除并删除这些存储。注意: 如果计划删除公用文件夹存储,则应该在应用 Exchange 安全策略之前将其删除,以便所做的更改可以复制到其他 Exchange 服务器。
将 Exchange_2003-Frontend_V1_1.inf 安全模板(随本指南附带)应用于前端服务器,是执行本节中所述的强化配置过程的最有效机制。此外,应用 Exchange_2003-Frontend_V1_1.inf 模板之后,可以使用协议特定的安全模板来启用适当的服务。
有关如何部署 Exchange 组策略安全模板的信息,请参阅“部署 Exchange 组策略安全模板”。
开始之前
开始强化组织中的前端服务器之前,请考虑下面的内容:
- Exchange 2003 包含下列应用程序:
- Outlook Web Access
- Outlook Mobile Access
- Exchange Server ActiveSync®
这些应用程序使用户可以从其个人计算机或移动设备访问 Exchange 信息。这些应用程序均使用超文本传输协议 (HTTP) 和 WebDAV 的组合。Outlook Web Access 和 Exchange Server ActiveSync 是默认启用的。此外还默认安装 Outlook Mobile Access,但新安装的 Exchange 2003 上禁用了该服务。
- POP3 和 IMAP4 客户端还可以使用前端服务器来访问邮箱。这种情况下,它们还将前端服务器用作 SMTP 网关。
- 要构建更安全的邮件系统,一个必不可少的措施是使用防火墙服务器 (Internet Security and Acceleration (ISA) Server 2004) 来控制对 HTTP、RPC over HTTP、POP3 和 IMAP4 协议通信的访问。有关使用 Exchange 2003 部署 ISA 2000 的信息,请参阅 Using ISA Server 2000 with Exchange Server 2003(英文)。有关使用 Exchange 2003 部署 ISA 2004 的信息,请参阅 Using ISA Server 2004 with Exchange Server 2003(英文)。
- 建议您将 ISA 服务器隔离在外围网络(也称 DMZ、网络隔离和屏蔽子网)中,以便只允许通过基本的端口访问您的组织。然后 Exchange 前端服务器可以通过 IPSec 自由地与所有 Windows 和 Exchange 服务通信。有关 Exchange 2003 可以使用的端口列表,请参阅“Exchange Server 2003 中使用的端口”。
- IIS Lockdown (IISlockd.exe) 工具只有在操作系统是 Windows 2000 Server 的情况下才需要。在 Windows Server 2003 中,IIS Lockdown 是 Internet 信息服务 (IIS) 的核心组件。如果是在运行 Windows 2000 的服务器上运行 Exchange 2003,请参阅 Microsoft 知识库文章“XADM: Known Issues and Fine Tuning When You Use the IIS Lockdown Wizard in an Exchange 2000 Environment”(英文)。
- 建议对 Outlook Web Access 使用安全套接字层 (SSL) 和 cookie 身份验证。SSL 通过加密客户端与 Exchange 2003 之间的邮件通信来帮助维护机密性。Cookie 身份验证可使非活动的非域连接在一段未活动时间后超时,并强制用户重新通过身份验证,从而提高安全性。有关 cookie 身份验证的详细信息,请参阅 Exchange Server 2003 Administration Guide。