且看Exchange Server 2007如何御敌于门外
邮件安全,现在已经成为企业级邮箱服务器所必需面对的一个问题之一。病毒、垃圾邮件、企业信息泄露已经成为威胁企业邮箱服务器安全的三大杀手。为此,在新一代的Exchange 2007种,微软提出来一个“御敌于门外”的安全策略。下面笔者就结合微软Exchange2007服务器版本的边缘服务器技术,谈谈微软是如何通过这门技术,实现这个“御敌于门外”的安全策略,
首先,笔者要简要介绍一下,什么是边缘服务器。边缘服务器是Exchange Server 2007提出的一个新的概念。其实,简单的说,边缘服务器就是一个网关服务器,他可以把企业的内网跟外网隔离开来,从而保障企业内网其他邮件服务器角色的安全性。
具体的来说,边缘服务器通过如下手段来保护邮件服务器免受病毒、垃圾邮件的侵袭。
一、 对收件人信息的单向散列加密。
边缘服务器的重要用途是一个邮件收发的网关服务器,通过边缘服务器,可以把企业邮箱服务器的其他角色跟企业的外网隔离开来。但是,边缘服务器要能够正常工作的话,也需要相关的信息。
如边缘服务器必须要具有企业内网内的所有收件人的地址信息。如此的话,边缘服务器才能够判断,收件人的地址是否合法,若不合法的时候,边缘服务器就会直接把这个邮件挡在门外,从而让这些非法邮件没有用武之地。可见,在这个边缘服务器上,还必须保存一些重要的信息。
此时,也许就会有人问,若这个边缘服务器遭受到攻击了,获取这些收件人的地址信息,那么,他人就可以像企业发送垃圾邮件了。确实,边缘服务器在这里是一个充当“牺牲者”的角色。他把自己暴露在外面,牺牲自己,保护邮箱其他服务器角色的安全。为此,微软邮箱服务器的开发人员也想到了这个可能性,为此,在边缘服务器上实现了一个叫做“单向散列加密”技术。
“单向散列加密”技术,简单的说,当边缘服务器通过一定的手段,从内网的活动目录中取得企业内部的收件人地址后,使加密存储的。而采用“单向散列加密”技术后,这个地址是不能够解密的。也就是说,即使有人攻击了这个边缘服务器,获取了企业内部的收件人地址,但是,因为这些信息采用了这种特殊的加密技术,他们取得的这些信息都是乱码,没有丝毫的用途。所以,边缘服务器也不怕别人攻击他们的系统。他是一个很坚强的革命烈士,即使自己被攻击的奔溃了,其也不会把这些机密信息泄露出去。
边缘服务器就是通过这种技术,保障企业内部邮件地址的安全性。使得非法入侵者无法获取企业的邮箱地址,他们也就无法向企业发送垃圾邮件。所以,边缘服务器在保护企业内部服务器角色安全的同时,也不忘对自己采取一定的保护措施。
二、 采用尽量少的端口,保障服务器的安全。
我们都知道,无论是木马还是病毒,又或者垃圾邮件,等等,他们要能够攻击邮箱服务器的话,首先必须找到一些可以被利用的端口。换句话说,服务器开放的端口越多,其被攻击的可能性也就越大。
而边缘服务器处在企业内网与外网的中间,若其开发过多的端口的话,则就可能会成为黑客、病毒等攻击的目标。为此,边缘服务器采用了特殊的技术,来避免过多的开放相关的端口。
如边缘服务器的话,可以在没有活动目录的情况下,也就是说不用加入到域,直接在工作组的环境下工作。这个最大的好处,就是不需要用到很多的端口。我们知道,若需要跟活动目录服务器进行联系的话,需要开放很多的端口,如DNS端口、TCP/IP查询端口等等,而这些端口若开发的话,则很可能会发生一些地址欺骗等攻击。所以,边缘服务器就索性关闭了这些端口,使得非法入侵者根本没有机会借这些端口进行非法攻击。
但是,边缘服务器需要正常工作,还必须从活动目录中那边取得一些信息,这是如何实现的呢?服务器在这方面,采用了一种叫做EDGESYNC的服务。他的作用,就是在边缘服务器跟活动目录之间进行信息的同步。根据邮箱管理员的设置,EDGESYNC服务会定期的把内网的活动目录中的相关信息,同步到边缘服务器上。为此,边缘服务器其实没有直接跟活动目录进行通信,就可以去的其所需要的信息。为此,边缘服务器也就没有必要打开那些比较危险的端口,从而保障自己的安全。
邮箱管理员可以根据企业的需要,自己设计是自动更新信息呢,还是手工更新相关的信息。
根据专家的说法,边缘服务器一般只需要打开两个端口,即25号端口与EDGESYNC服务所需要用到的端口,就可以进行正常的工作。如此的话,就可以最大限度的保障边缘服务器的安全。设想一下,若没有边缘服务器在这里起作用,而把企业的邮箱服务器直接部署在边缘服务器的位置上,他们他们因为需要开发很多的端口,必将成为木马、病毒等攻击的对象。端口开放的多了,即使采用最周密的安全防卫体系,但是也难免百密而一疏,从而给非法入侵者可乘之机。
综上所述,边缘服务器可以在没有活动目录的环境下,也就是说在工作组的网络背景下运行。为此,边缘服务器就可以不需要运行过多的服务,打开过多的端口。运行的服务少了,打开的端口少了,那么自己被攻击的可能性也就会小的多。所以,企业部署边缘服务器,可能会在很大程度上,提高企业内部邮箱服务器系统的安全性。
三、 部署边缘服务器的一个注意点。
边缘服务器必须跟其他服务器角色部署在不同的主机上。企业部署一个邮件服务器,其实,其有多种服务器角色。一般来说,在安装邮箱服务器的时候,有如下五种角色。如CLIENT ACCESS角色、MAILBOX角色、UNIFIED MESSAGING角色、HUBTRANSPORT角色、EDGETRANSPORT角色等等。EDGETRANSPORT角色就是我们所说的边缘服务器。
我们知道EDGETRANSPORT角色的主要作用,就是充当一个邮件收发的一个网关,把其他的四种服务器角色跟企业的外网进行隔离。而且,在边缘服务器上可以部署一些应用,如病毒防火墙、垃圾邮件过滤软件等等,从而起到一种御敌与门外的目的。
所以,微软开发人员为了实现,边缘服务器能够真正起到这个隔离的作用,在边缘服务器部署的时候,做另一个限制。若企业需要部署边缘服务器的话,不能跟其他服务器角色部署在同一台主机上,如此的话,就可以从物理上,把边缘服务器跟其他服务器角色隔离开来,从而提高企业邮箱服务器系统的安全性。
利用边缘服务器,还可以实现连接过滤、SMTP协议过滤、内容过滤等相关的过滤规则,来保障企业内部邮箱服务器的一个正常的运行环境。关于边缘服务器的具体应用与配置,笔者会在后续的文章中做详细的阐述。大家若有这方面的需要,可以关注我后续的文章。下面的文章,笔者将结合自己企业的边缘服务器的部署情况,谈谈边缘服务器在企业中的实际应用。包括如何通过连接过滤实现垃圾邮件的过滤等等。
- 最新评论