保证统一消息网络通信的安全

 

适用于: Exchange Server 2010 SP2, Exchange Server 2010 SP3

上一次修改主题: 2009-10-10

组织内整体网络安全的一个重要方面是为 Microsoft Exchange Server 2010 统一消息 (UM) 服务器正确配置安全性。使统一消息服务器、IP 网关和其他运行 Exchange 2010 的服务器能够使用传输层安全性 (TLS) 或 IP 安全进行通信可提高整个网络的安全级别。以下与安全相关的主题的信息和链接可帮助您提高网络的保护级别。

保证网络通信的安全

统一消息可以在安全或不安全模式下与 IP 网关、IP 专用交换机 (PBX) 和其他 Exchange 2010 计算机进行通信,具体取决于 UM 拨号计划的配置方式以及是否在网络上 IP 网关和统一消息服务器之间建立了相应的证书信任。在不安全模式下,语音 IP (VoIP) 和会话初始协议 (SIP) 通信不加密。但是,可以使用 VoIPSecurity 参数配置 UM 拨号计划以及与 UM 拨号计划关联的 UM 服务器。VoIPSecurity 参数可将拨号计划配置为通过 SIP 安全或安全模式来加密使用相互传输层安全性 (TLS) 的 VoIP 和 SIP 通信。

可以执行几种操作来帮助保护 UM 服务器,以及在 IP 网关与 UM 服务器之间和 UM 服务器与组织中的其他 Exchange 2010 服务器之间发送的网络通信。若要了解 UM 环境中必须使用以帮助保护组织中的 UM 服务器发送和接收的网络数据的组件,需要首先了解如何执行以下操作:

  • 使用 IPsec 来保护 UM 网络数据。

  • 使用 TLS 来保护 UM 网络数据。

  • 使用可用于统一消息的不同类型的证书实现 TLS。

  • 正确配置 UM 服务器和 IP 网关以使用 TLS。

UM 安全组件

必须配置各种组件来帮助实现统一消息服务器以安全方式与其他 Exchange 2010 服务器和 IP 网关进行通信。以下组件可帮助确保通过网络传送的数据的安全性。

  • IPsec IPsec 使用基于加密的保护服务、安全协议和动态密钥管理。它为保护专用网络计算机、域、站点、远程站点、Extranet 和拨号客户端之间的通信提供了极高的强度和灵活性。它甚至可以用于阻止特定类型通信的回执或传输。有关可供帮助保护 UM 通信的安全选项的详细信息,请参阅了解统一消息 VoIP 安全性

  • TLS 在成功导入和导出必需的受信任证书之后,IP 网关将向 UM 服务器请求证书,然后将向 IP 网关请求证书。通过在 IP 网关和 UM 服务器之间交换受信任证书,可以帮助保证 IP 网关和 UM 服务器使用 TLS 进行通信的通道安全。有关可供帮助保护 UM 通信的安全选项的详细信息,请参阅了解统一消息 VoIP 安全性

  • 证书 数字证书是电子文件,它们像网上身份证一样用于验证用户或计算机的身份。它们还可用于创建加密通道以保护数据。证书基本上是由证书颁发机构 (CA) 颁发的数字声明,由 CA 担保证书持有者的身份并使参与各方能通过使用加密来以安全方式进行通信。证书可由受信任的第三方 CA 颁发(例如,使用证书服务),也可以自行签署。有关用来保证 UM 通信安全的安全选项的详细信息,请参阅了解统一消息 VoIP 安全性

  • VoIP 安全性 统一消息可以在安全或不安全的模式下与 IP 网关、IP PBX 和其他 Exchange 2010 计算机进行通信,具体取决于 UM 拨号计划的配置方式。默认情况下,UM 拨号计划在不安全模式下进行通信。可以使用 Exchange 命令行管理程序中的 Get-UMDialPlan cmdlet 来确定 UM 拨号计划的安全设置。有关如何在 UM 拨号计划上启用 VoIP 安全性的详细信息,请参阅在 UM 拨号计划中配置 VoIP 安全性

 © 2010 Microsoft Corporation。保留所有权利。