确保 Exchange 通信的安全一

    使用 ISA 服务器确保 OWA 的安全

    为了将在内部防火墙上需要打开的端口数量降到最低，可以使用应用层防火墙，如 Microsoft Internet Security and Acceleration (ISA) Server。ISA 服务器使您能够将 SMTP 服务器和 OWA 前端服务器都放在防火墙之后。使用服务器发布和 Web 发布规则，ISA 服务器可在不将内部服务器放在 DMZ 中的情况下对外模拟这些服务器。

    注意：有关用于前端服务器和其他服务器之间通信的端口列表，请参阅本模块末尾“更多信息”中列出的“Exchange 2000 Front-end and Back-end Topology”白皮书（英文）。

    确保防火墙结构的安全

    注意：在此配置中，用于前端 OWA 服务器的外部 DNS 条目需要引用在 ISA 服务器上发布的 IP 地址，而不是该 OWA 前端服务器的地址。

    注意：如果无法对现有的两个防火墙结构进行更改以配合 ISA 服务器，可以将 ISA 服务器放置在当前内部防火墙的内部，并通过 TCP 端口 443 到达该 ISA 服务器。

    防火墙有助于保护服务器免受攻击的损害。但是，您还需要对传输时进出您的服务器的数据进行保护。当 Internet 上的 Web 浏览器客户端使用 HTTP 通过 OWA 访问 Exchange 时，会发生下面的情形：

    从该 Web 浏览器向该 ISA 服务器发送一个 HTTP 请求。如果这些请求符合 ISA 发布规则，则会被传递到 OWA 前端服务器。

    ISA 服务器建立一个到该前端服务器的新的 HTTP 连接，并使用它自己的 IP 地址作为源 IP 地址。这些 HTTP 请求在 OWA 前端服务器上进行处理。作为该处理过程的一部分，该 OWA 前端服务器会：根据全局编录服务器验证该用户和联系人，以确定该用户邮箱的位置。解析该用户邮箱服务器的 IP 地址。该 OWA 前端服务器建立一个到后端 Exchange 服务器的新的 HTTP 会话。

    作为支持 OWA 的 Microsoft Internet 信息服务 (IIS) 的一部分，您需要启用基本身份验证。由于通信所使用的协议不是 HTTP 就是 HTTPS，因此集成 Windows 身份验证将无法工作，而且您不得使用匿名访问，因为这样会使 Internet 上的任何人都可以访问您的电子邮件环境。

    基本身份验证意味着，在一个 HTTP 连接上，密码和电子邮件将以未加密的形式在 Internet 上进行传递。如果不使用任何加密方法，这些数据包会继续以明文形式在 ISA 服务器和 OWA 前端服务器之间进行未加密传输。OWA 执行验证之后，这些未加密的信息（包括密码）将原样在 OWA 前端服务器和后端服务器之间以 HTTP 形式进行发送。为了防止发生这种情况，在 Web 浏览器和后端 Exchange 服务器之间的整个路径上对用户凭据进行加密是至关重要的。这可以通过下列操作来完成：

    使用 SSL 加密确保 Web 浏览器和 ISA 服务器之间通信的安全。
    使用 SSL 确保 ISA 服务器和 OWA 前端服务器之间通信的安全。
    使用 IPSec 确保 OWA 前端服务器和后端 Exchange 服务器之间通信的安全。

    我们将逐一讨论上述过程。

    确保 Web 浏览器和 ISA 服务器之间通信的安全

    要使用 SSL 对 Web 浏览器和 ISA 服务器之间的数据进行加密，您需要在该 ISA 服务器上和相应的 SSL 侦听器上安装 SSL 证书。您的证书应当由一个全球受信任的 CA 颁发，因为该证书会被一些可能不属于您组织基础结构的外部 Web 客户端使用。

    配置 ISA 服务器以支持 SSL 通信

    有很多方式可用来将 ISA 服务器配置为接受来自 Web 浏览器的 SSL 请求。它可以：接收 SSL 通信，并将这些通信传递到防火墙内部的服务器。对 SSL 通信进行解密，并将这些通信以非加密的形式传递到后端。对 SSL 通信进行解密，并在将它们传递到后端之前进行重新加密。

    注意：对 SSL 解密和重新加密需要 ISA Server SP1 或更高版本。只有安装了 ISA Server SP1 或更高版本之后，下面的过程才能正确运行。在这三种方法中，最安全的方法是对数据包进行解密，然后再重新加密，因为这使得 ISA 服务器能够检查这些数据，验证是否存在漏洞。它还可以保护数据免受来自 ISA 服务器内部的攻击的损害。注意：某些国家/地区的法律可能不允许在网络中的某个中间点对数据进行加密和检查。在采纳这个解决方案之前，您应该首先确认采用此解决方案的法律后果。注意：为了提高 SSL 的性能和减少 SSL 的开销，您应该考虑使用 SSL 加速网络适配器。为了成功对数据进行加密，您应该确保下列内容：

    OWA 的 ISA 服务器证书的公用名（也称为友好名称）应与 Web 浏览器用来引用 OWA 资源的完全合格的域名称 (FQDN) 相匹配。例如，如果客户端使用的 OWA URL 为 https://mail.nwtraders.com/exchange ，则该证书公用名应为 mail.nwtraders.com。

    该证书必须导入发布 OWA 资源的一台或多台 ISA 服务器的“个人”计算机存储中。将该证书导入 ISA 服务器时，请确保启用了“将私钥标记成可导出的”。

    为了避免意外传输明文密码，ISA 服务器应当只对已发布 OWA 站点允许安全通道，并拒绝明文 HTTP 连接。

    ISA 服务器使用 Web 发布规则来使 OWA 服务器可用于 Internet 客户端。但是，在创建 Web 发布规则之前，必须首先在 ISA 服务器上准备好 Web 发布。这是通过配置“Incoming Web Requests”（外来 Web 请求）和“Outgoing Web Requests”（外出 Web 请求）来完成的。注意：完成下面的过程之前，您需要导入您的外部证书。

    配置“Incoming Web Requests”（外来 Web 请求）

    1.启动“ISA Management”（ISA 管理）。
    2.右键单击您的 ISA 服务器，选择“Properties”（属性）。
    3.单击“Incoming Web Requests”（外来 Web 请求）选项卡。
    4. 选择“Configure listeners individually per IP Address”（为每个 IP 地址单独配置侦听器），然后单击“Add”（添加）。
    5.选择您的 ISA 服务器，然后选择您的 ISA 服务器的外部 IP 地址。
    6.选择“Use a server certificate to authenticate web clients”（使用一个服务器证书验证多个 Web 客户端）。
    7.单击“Select”（选择）选择 FSQN 客户端将要用于访问该 SSL 站点的证书。
    8.单击“OK”（确定）。
    9.选择“Enable SSL Listeners”（启用 SSL 侦听器）。
    10.单击“OK”（确定）。
    11.单击“OK”（确定）。
    12.单击“Save the changes and restart the service(s)”（保存更改并重新启动服务），然后单击“OK”（确定）。

    配置“Outgoing Web Requests”（外出 Web 请求）

    注意：执行下面的过程会阻止内部网络中的用户使用该 ISA 服务器作为访问 Internet 上 Web 站点的代理服务器。要使得 OWA 能够通过 ISA 使用，则不需要此过程，但是包括此过程是为了获得附加的安全性。

    1.启动“ISA Managment”（ISA 管理）。
    2.右键单击您的 ISA 服务器，选择“Properties”（属性）。
    3.单击“Outgoing Web Requests”（外出 Web 请求）选项卡。
    4.选择“Configure listeners individually per IP Address”（为每个 IP 地址单独配置侦听器），确保没有列出任何 IP 地址，然后单击“OK”（确定）。
    5.单击“Save the changes and restart the service(s)”（保存更改并重新启动服务），然后单击“OK”（确定）。

    您就可以配置支持 OWA 的 Web 发布了。

    配置用于 OWA 的 Web 发布

    1.在“ISA Management”（ISA 管理）中，展开您的 ISA 服务器，然后展开“Publishing”（发布）。
    2.右键单击“Web Publishing Rules”（Web 发布规则），选择“New”（新建），然后选择“Rule”（规则）。
    3.提供一个名称，例如 OWA – ，然后单击“Next”（下一步）。
    4.验证“All destinations”（所有目标），然后选择“Next”（下一步）。
    5.验证是否选中了“Any request”（任何请求），然后选择“Next”（下一步）。
    6.选择“Redirect the request to this internal Web server (name or IP Address)”（将请求重定向到此内部 Web 服务器（名称或 IP 地址）），然后单击“Browse”（浏览），选择您的 OWA 前端服务器。
    7.选择“Send the original host header to the publishing server instead of the actual one (specified above)”（将原始主机标头发送到发布服务器，而不是实际的服务器（上面指定的服务器）），然后单击“Next”（下一步）。
    8.单击“Finish”（完成）。
    9.在文件夹窗格中，单击“Web Publishing Rules”（Web 发布规则），然后双击该新规则。
    10.单击“Bridging”（桥接）选项卡。
    11.选择“Require secure channel (SSL) for published site”（需要用于所发布站点的安全通道 (SSL)），选择“Require 128-bit encryption”（需要 128 位加密），然后单击“OK”（确定）。

    注意：您还需要在环境中的相应路由器和防火墙上为端口 80 和端口 443 配置合适的规则。
    注意：有关使用 ISA 服务器发布 SMTP 和 OWA 的详细信息，请参阅知识库文章 Q290113，“How to Publish Outlook Web Access Behind ISA Server”（英文）和 Q308599 “How to Configure ISA Server to Publish Exchange for OWA”（英文）。

    在 ISA 服务器和 OWA 前端服务器之间进行加密

    要对 ISA 服务器和 OWA 前端服务器之间的 HTTP 通讯进行加密，您需要在该 OWA 前端服务器上安装 SSL 证书。ISA 服务器和 OWA 前端服务器是您组织的基础结构的一部分，因此该 OWA 前端证书可由您组织的内部根 CA 颁发，也可以由它的任意一个受信任从属证书颁发机构颁发。