Download
msg335 internet exchange 2003 n.
Skip this Video
Loading SlideShow in 5 Seconds..
MSG335 如何从 Internet 访问 Exchange 2003 并保证安全 PowerPoint Presentation
Download Presentation
MSG335 如何从 Internet 访问 Exchange 2003 并保证安全

MSG335 如何从 Internet 访问 Exchange 2003 并保证安全

206 Vues Download Presentation
Télécharger la présentation

MSG335 如何从 Internet 访问 Exchange 2003 并保证安全

- - - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

  1. MSG335如何从Internet访问Exchange 2003并保证安全 刘毅专业解决方案部微软(中国)有限公司

  2. 日程 • Exchange的Internet 访问技术 • 桌面 • Outlook Web Access (OWA) • Outlook: RPC/HTTP • IMAP4 and POP3 • 移动设备 • Exchange ActiveSync • Outlook mobile access • 部署和拓扑 • 前端/后端? 防火墙? • 安全, 安全, 安全 • 管理 Exchange 2003: 移动访问-内置功能

  3. 应用场景和风险 • 从Internet访问Exchange • 外网 • 在家办公用户 • 公用Internet终端,如网吧 • 合作伙伴的办公室 • 理解风险 • 部署和配置错误 • E-mail 的内容 • 从Internet发送,从内部打开 • 从内部发送,在Internet上打开 • 终端用户错误

  4. Exchange 2003 移动组件概览 Firewall/DMZ RPC/HTTP 和 Outlook Web Access POP3, IMAP 笔记本 手机和PDA浏览器 Outlook Mobile Access 前端 邮箱 (后端) ActiveSync 客户端 (如., PPC, SP) Exchange ActiveSync

  5. Outlook Web Access (OWA)Exchange 2003 特性 • 拼写检查 • 规则 • 任务 • 所有在Outlook 2003 中我们喜欢的功能 • 快速标记 • 右预览区, 两行视图 • 右击标记已读/未读 • 附件的拖放 • 性能提升 (>50% vs. Exchange 2000) • 安全 • 基于表单的验证, 附件阻止, 外部内容阻止, S/MIME 加密/签名

  6. Outlook Web Access基于表单的验证(form-based authentication, FBA) • HTML • 用户选择‘基本’ 或 ‘高级’ OWA • 用户选择‘私有’or ‘公共’ 计算机(短的 Vs. 长的 超时设置) • 定时注销: 服务器用加密的cookie进行会话验证 • 注销和超时会使 “cookie”无效 • 用户无需通过关闭浏览器来注销 • 写email时不会超时 • 有新到email或提醒,不会改变超时 • 可订制的登陆页

  7. RPC/HTTP不再需要VPN,Outlook直连Exchange • 要求 • Outlook 2003 • 在Exchange 代理设置中进行配置 • Microsoft Windows XP SP1 + 331320或 SP2 • 以下服务器需要Windows Server 2003: • 邮箱服务器,前端服务器,全局编录服务器(GC)公共文件夹 • OWA and Outlook 可以用同样的 URL • Outlook’s RPC (远程过程调用) 被封装在HTTPS中 • Outlook 客户端请求被Windows’的 “RPCProxy” 服务代理 • RPCs的请求在Exchange前端服务器上被解包并被转发到相应的服务器上 • 在RPC/HTTP 和 RPC/TCP中之间智能切换 * Outlook 配置界面可以用注册表禁用

  8. Exchange ActiveSync (EAS) • Windows Mobile, PalmOne, … • 协议可被移植到第三方 • E-mail, 日历 and 联系人的同步 • 内置在Exchange中,无需独立的同步服务器. • 定时的/手动的/实时的同步 • 丰富的过滤和截断选项options • 同步附件? 同步多少内容? … • 智能回复和智能转发 • 无需下载到设备,实现附件和完整邮件的传送 • ‘桌面ActiveSync’集成 • 可以从移动设备或者桌面进行配置 • 实时通知 • SMTP to 运营商网关, SMS to 到短信

  9. Outlook Mobile Access (OMA)概览 • 针对对移动设备的OWA • 重要e-mail (如接受会议邀请) • 查找联系人 • 查看日历(如创建会议) • Exchange的 “device reach”解决方案 • 为不同的设备生成 WML, HTML, xHTML and cHTML • Microsoft .NET Framework ‘Device Updates’增加了设备支持 • Exchange 2003 contains ‘Device Update 2’ • 最新版本 ‘Device Update 4’

  10. 部署基础拓扑示例 Firewall • 防火墙只运行SSL (端口443) • 可为POP3/IMAP添加端口(TLS) • 前端服务器上的IIS 验证用户 • 前端察看哪台后端服务器存储用户邮箱 • 前端处理数据或代理到后端 • 后端返回数据到前端, 前端再返回数据到用户   RPC/HTTP, OWA, OMA, EAS, POP3, IMAP   前端  邮箱 (后端服务器 全局编录服务器 (AD /GC)

  11. Internet Firewall 部署基础前端服务器 前端服务器 客户端 邮箱 • 选择 ‘这是前端服务器’ • Exchange 系统管理器 (ESM) 服务器  右键单击  属性 ‘常规’ • 为什么用前端服务器? • 分担后端邮箱服务的负载 • SSL, OWA 压缩, OWA 拼写检查 • 对所有客户端,单一URL • 例如,对于OWA, RPC/HTTP, EAS and OMA,微软员工可以使用单一名字空间 mail.microsoft.com • 更安全,可靠 • 没有用户数据在前端 • 没有未经认证的用户请求到后端 • 客户访问运行在前端服务器上的服务

  12. 部署前端服务器的几个必须 • 必须 用 Exchange 2000 企业版或Exchange 2003 企业版/标准版 • 前端服务器必须在后端升级之前升级 • 例如, Exchange 2003 前端可以跟 Exchange 2000后端配合工作 • 前端必须和后端在一个AD的森林内 • 前端和全局编录服务器 (GC)之间的通讯 • IIS用RPC进行身份验证. 前端服务器和GC之间RPC通讯端口必须 打开 • 前端必须 是域成员

  13. 最安全的部署Perimeter network with pre-authN 防火墙 防火墙 • 防火墙仅允许SSL (端口 443) • ISA 2004 用ISA 基于form的用户认证和RADIUS进行用户预认证(pre-authenticates user) • ISA 不是内网域的成员 • 前端服务器上的IIS进行用户认证 • … Perimeter  RPC/HTTP, OWA, OMA, EAS  ISA 2004 前端   邮箱 (后端) 服务器 GC (活动目录)

  14. 部署OWA • 安全 • 缺省:基本(Basic)+NTLM, 与SSL共同使用 • OWA在前端: 基于表单的身份验证或基本认证 • OWA在后端: Windows 集成验证, 或Digest (摘要)验证方式 • E-mail 在客户端本地没有缓存 • HTML e-mail的恶意内容和附件被过滤 • 高级设置 • 多个虚拟服务器和web站点 / 虚拟目录 • 在前后端创建匹配的虚拟服务器/虚拟目录 • OWA 的‘Public’虚拟目录指定根公共文件夹 • OWA 的‘Exchange’指定SMTP域 • 在Exchange 2003 SP1之前: 只有在那个SMTP域有email地址的用户可以用虚拟目录 • Exchange 2003 SP1: SMTP 域仅用来在OWA URL中辨别用户 (如. …/exchange/billg)

  15. OWA 附件Exchange Server 2003新特性 • 根据 MIME 类型和文件扩展名阻止附件 • Level 1 –阻止 • Level 2 –可以存到磁盘, 但不能在浏览器中打开 • 由注册表控制 • 在OWA中组织所有附件 • 或者,更加特定设置: • 当通过前端服务器时,阻止所有 • 阻止所有附件, 除了通过认可的前端服务器时 • 选择哪一个FQDNs可以更安全的打开附件

  16. OWA 管理工具

  17. 部署RPC Over HTTP • 安全 • 缺省NTLM (可以被配置成‘basic’验证) • 有被客户端信任证书的SSL是强制性的 • 防火墙只有 443 端口 (HTTPS)开放 • 只有Exchange服务器和全局编录服务器(GC)可以被访问 • Exchange 前端服务器上安装RPCProxy • 添加Windows组件  网络服务HTTP代理上的RPC • 配置Exchange 2003 SP1 ‘RPC/HTTP Publisher’ • Exchange 系统管理器(ESM)  服务器  右键点击属性‘RPC-HTTP’栏 • 手动配置: IIS 设置/权限, 设置 前端/后端 成为 ‘RPC/HTTP publisher’ , 设置 后端/DC 端口, 设置 ‘ValidPorts’注册表项, … • 网络广播指导手工配置 • http://support.microsoft.com/default.aspx?scid=kb;en-us;829134

  18. 部署 Exchange ActiveSync 和 Outlook Mobile Access • EAS and OMA通过 “/Exchange”虚拟目录访问邮箱服务器 • 当“/Exchange”用 FBA 或 SSL ,OMA and EAS 失败 • 变通办法: http://support.microsoft.com/?kbid=817379 • Exchange ActiveSync • Basic 验证方式, 与SSL结合使用 • 实现: 用 LOCAL_SYSTEM 帐号运行的ISAPI • Outlook Mobile Access • Basic验证方式, 与SSL结合使用 • 为SMTP域指定虚拟目录: 只用在该SMTP域中有e-mail地址的用户才能用哪个虚拟目录 • OMA 需要在整个会话中,保持 client  server 关联(affinity) • 实现:在 ASP.NET application worker account下,运行在独立的进程空间,

  19. 架构 笔记本 Front-End /Exchange (OWA) Mailbox /Exchange ISAPI Proxies to Mailbox Server Forms Based AuthN IIS Basic/ Integrated OWA/DAV ISAPI … … ActiveSync 客户端 /Microsoft- Server- ActiveSync /Microsoft-Server-ActiveSync (EAS) Store.exe IIS SSL IIS Basic ActiveSync Protocol ISAPI … … DB /OMA (OMA) /OMA ASP.NET 页面 手机& PDA 浏览器 … IIS Basic … .NET FW 移动控件 and 会话状态 …

  20. 部署 IMAP4 and POP3 • 服务缺省被关闭 • MMC ‘Services’ : 设置为自动启动 • ‘Microsoft Exchange IMAP4’ • ‘Microsoft Exchange POP3’ • 打开端口: • IMAP: 143 • IMAP with TLS/SSL: 993 • POP3: 110 • POP3 with TLS/SSL: 995 • 前端代理 • 使用用户帐号来查询正确的后端 • 后端身份验证

  21. 拓扑考虑SSL 处理  • SSL 握手是消耗大量CPU资源的 • 将负载转移到前端 • 硬件加速 • 在前端之前,SSL 中止: 需要通知前端 SSL 被使用 • FBA 和 RPC-HTTP 需要注册表项 • 为非FBA的 OWA增加 “Front-End-HTTPS: on” HTTP头 • EAS 无需特殊考虑. • SSL • Affinity (关联) = 性能更好 • SSL 握手 ,用 “keep-alive”连接来保证更好性能

  22. 拓扑考虑简化URLS的访问 • 改变 OWA 访问 URL • 从: ‘https://mail.microsoft.com/exchange’ • 改成: ‘https://mail.microsoft.com’ • IIS 管理器  默认网站右键点击  属性 ‘主目录’栏 • 在‘重定向到’栏中,键入 ‘/exchange’ • 选中‘输入的URL下的目录’

  23. 拓扑考虑负载均衡和前端 • 前端可以被负载均衡 • Windows network load balancing (NLB) • 独立的负载均衡硬件 • DNS round-robin • Forms-based 用户验证 • 在整个会话过程中,Client  Server 的关联(affinity)是必须的 • Cookie 只能被分发它的前端解密 • 代理和防火墙可能影响负载均衡

  24. 拓扑考虑用DMZ Perimeter • Perimeter network • 包含服务器,它接受从Internet来的 未经验证用户的请求 • 如果中间的服务器被破坏,被限制在DMZ中 • Intranet 和 DMZ之间保持最少的端口数和通讯 • 防火墙 • 外部: 端口过滤, 报文检测, 等. • 内部: + IP 过滤 • 组织的其他安全需求 • DMZ中使用反向proxy • 更安全: ISA2004 可以用RADIUS进行预认证,无需是域的成员 • SSL Bridging (解密, 审查, 重新加密) 或 SSL Passthrough (不审查) Front-End Reverse Proxy and/or Pre-AuthN

  25. 安全FE 和 BE间防火墙 • 禁止 DSACCESS & NETLOGON • 难于远程管理

  26. 安全 • 前端  后端服务器通讯 • 使用可信任的物理/交换网络 • 用IPSec • 不能使用SSL • Exchange 2000 –基本验证 (Basic Authentication) • Exchange 2003 –集成验证 (integrated authentication) • IIS: 禁用不重要的脚本映射和扩展 • IIS5 用 “IIS Lockdown”工具 • IIS6 缺省 “locked down” 更安全 • URLScan KB 823175 • 及时更新Windows和IIS的补丁

  27. 开关移动服务  Default: Enabled Exchange System Manager Default: Disabled

  28. 客户端访问管理 Active Directory Users&Computers Default: Enabled

  29. 用GZIP压缩 仅适用于基于表单的验证 FBA pages detect browsers w/ malfunctioning GZIP Internet Explorer 6 SP1+Q813489, Netscape 6+ 仅适用于 IIS6 (Win2003) 低: 静态页面 高: 静态和动态页面 (更多服务器负载) 在虚拟服务器上配置FBA 只适用于OWA虚拟目录 OWA 管理 ESM

  30. 其它 • 字符集 • HKLM\System\CurrentControlSet\Services\MSExchangeWEB\OWA\ • UseRegionalCharset = ‘1’ • 让OMA, EAS and OWA 用区域字符集发送e-mail • UseGB18030 = ‘1’ and UseISO8859_15 = ‘1’ • 让OMA, EAS and OWA 用GB18030 替代 GB2312 ,iso-8859-15替代iso-8859-1 • 移动设备 • 可以改变‘/Exchange’和 ‘/OMA’虚拟目录的名字, 但是 ActiveSync 设备只能访问 ‘/Microsoft-Server-ActiveSync’ • OMA 缺省时被禁用的 

  31. 谢谢! 请填写反馈表