На главную страницу
 
  Главная 
  Новости 
  Статьи  RSS
  Программное обеспечение 
  Форум 
  Опросы 
  Полезные ссылки 
MSExchange.ru ISADocs.ru WinSecurity.ru NetDocs.ru

Exchange 5.5
Exchange 2000
Exchange 2003
Exchange 2007
Общее
Exchange 2010

Поиск по сайту


Авторизация

Запомнить меня на этом компьютере
  Забыли свой пароль?
  Регистрация

Подписка

Изменение параметров

Статистика

Hits 2746875
11568
Hosts 1649535
410
Visitors 229603
468

11

Главная / Статьи / Exchange 2003 / Настройка сервера ISA Server 2004 для работы в качестве front-end сервера Exchange в DMZ (Часть 1)


Настройка сервера ISA Server 2004 для работы в качестве front-end сервера Exchange в DMZ (Часть 1)

Версия для печати Версия для печати

Эта статья переведена силами и средствами компании Red Line Software. Размещение данного переведенного материала на других сайтах без разрешения компании Red Line Software запрещается.

Даже после появления сервера ISA Server 2004, существовали достаточно различные мнения, по поводу того, что является лучшей проектной стратегией для безопасной публикации служб сервера Exchange Server 2003 в интернет. В процессе этой статьи мы углубимся в детали конфигурации, необходимой для наиболее безопасной публикации вашего сервера Exchange Server 2003 с помощью ISA Server 2004, при этом беря в расчет идей разработчиков Exchange.

Если вы пропустили вторую часть статьи, прочтите ее

  • Настройка сервера ISA Server 2004 для работы в качестве front-end сервера Exchange в DMZ (часть 2)

В сервере Exchange более ранних версий, наилучшим способом было размещение front-end сервера Exchange в DMZ. Это означает, что должно быть открыто множество портов на вашем брандмауэре для того, разрешить соединения между front-end сервером в сегменте сети DMZ и back-end сервером в вашей внутренней сети. Это была очень небезопасная конфигурация, потому что, если кто-то взламывал сервер, то он мог достаточно легко получить доступ к службам внутренней сети. Поэтому многие компании не хотят опубликовывать что-либо именно по причинам безопасности.

С появлением сервера ISA 2004 это изменилось, потому что появились новые возможности, с помощью которых вы можете опубликовывать каждую службу сервера Exchange Server 2003 с максимально доступной безопасностью. Ведущие эксперты по безопасности предлагают использовать дизайн, описанный в статье Tom Shinder, которую можно найти здесь:

  • Часть 1
  • Часть 2

В процессе этой статьи мы углубимся в детали конфигурации, необходимой для наиболее безопасной публикации вашего сервера Exchange Server 2003 с помощью ISA Server 2004, при этом беря в расчет идей разработчиков Exchange.

Описание конструкции сервера Exchange

Если вы разрабатываете конструкцию вашего сервера Exchange 2003 с перспективой публикации служб Exchange для ваших служащих в интернет, то очень важно, чтобы ваш сервер Exchange не имел прямого доступа к интернет. Это означает, что нам нужен DMZ или нечто подобное, и означает, что вы должны защищать вашу внутреннюю сеть, разместив не совсем безопасную сеть впереди демилитаризированой зоны (demilitarized Zone).

DMZ не означает, что у вас должно быть два брандмауэра (один front end, а другой back end), DMZ может быть подключен к вашему текущему брандмауэру в качестве третей сети. Самый важный момент заключается в том, что вы должны гарантировать, чтобы внешний по отношению к вашей сети трафик проходил через DMZ, и чтобы не было прямого соединения из внешней сети к внутренней.

Exchange против front-end сервера ISA

Но в чем заключается причина использования сервера ISA Server 2004 вместо сервера Exchange Server 2003 в DMZ? Причина достаточно проста:

  1. Больше безопасности благодаря использованию правил Firewall Rules
  2. Безопасный Webserver Publishing с прикладными фильтрами
  3. Нет необходимости в добавлении его в домен благодаря функциональности RADIUS Client
  4. Более низкие затраты на лицензии, чем в случае с Exchange Server 2003

Если вы устанавливаете сервер Exchange Server 2003 в качестве front-end сервера в вашем окружении, то вы должны убедиться, что открыто достаточное количество портов, чтобы напрямую контактировать с Active Directory и подключить вашу структуру Exchange Server Organization. Для получения более подробной информации вы можете взглянуть на статью “Implementing Outlook Web Access with Exchange Server 2003” (http://www.msexchange.org/tutorials/OWA_Exchange_Server_2003.html). Она поможет вам более подробно разобраться в конфигурации.

Теперь сервер ISA 2004 может работать как клиент RADIUS. Это означает, что вы можете настроить его для общения с внешним сервером RADIUS или сервером IAS на одном из ваших серверов инфраструктуры. Это означает, что у вас должна быть инфраструктура, для которой необходимо максимум два дополнительных порта для общения с Active Directory для аутентификации.

Internet Authentication Service (IAS) – это реализация службы RADIUS компанией Microsoft, который как вы вероятно знаете входит в службы Routing и Remote Access Services или аутентификацию IEEE 802.1x. RADIUS – это стандартный безопасный способ для общения с вашей внешней службой директорий (directory service) для аутентификации. Если она используется, то ваши служащие должны помнить только один пароль для внешней и внутренней аутентификации с помощью Active Directory.

В добавок к этому, великолепные фильтры приложений (Application Filters) на вашем брандмауэре сервера ISA обеспечивает хорошую защиту от хакеров и других неприятностей в вашей внутренней сети.

И третья хорошая причина заключается в том, что стоимость лицензии на сервер ISA Server 2004 Standard Edition не настолько высока, как на сервер Exchange Server 2003 Standard Edition.

Подготовка структуры Exchange

Теперь, если вы хотите подготовить вашу сетевую инфраструктуру для такого дизайна, то вы должны гарантировать, что следующая структура будет работать правильно.


Рисунок 1: Хорошая и безопасная конфигурация для публикации служб Exchange Services в интернет

Итак, ниже приведена последовательность действий, которые вы должны выполнить для того, чтобы все заработало:

  1. Установить и настроить службы Internet Authentication Services (IAS) но одной (или для большей доступности более чем на одной) системе с Windows Server 2003.
  2. Открыть порты RADIUS (обычно это 1812 и 1813) на вашем брандмауэре для общения между сервером ISA Server и сервером IAS Server и наоборот.
  3. Убедиться, что ваш сервер ISA Server имеет доступ к вашим внутренним серверам по DNS.
  4. Установить Windows Server 2003 SP1.
  5. Защитить вашу систему серверов (Server System) с помощью мастера Security Configuration Wizard (SCW), чтобы подготовить вашу систему для настоек безопасности.
  6. Установить ISA Server 2004 SP2 на вашем новом сервере.
  7. Поместите его в DMZ.

После тестирования вашего окружения вы будете готовы для настройки вашей системы для публикации всех служб сервера Exchange Server 2003. Об этом мы расскажем во второй части из этой серии, которая очень скоро появиться.

Но почему мы по-прежнему должны использовать front-end сервер в сегменте LAN? Причина достаточно проста, это делается для того, чтобы вы имели возможность опубликовать один единственный URL для всех ваших сотрудников, даже если у вас будет доступно более одного back-end сервера.

Заключение

С помощью великолепной комбинации сервера Exchange Server 2003 на Windows Server 2003 и сервера ISA Server 2004 вы получаете хороший, легкий и безопасный способ для публикации служб вашего сервера Exchange Server 2003 в интернет с минимальным риском. Благодаря этому, вы можете гарантировать, что все ваши сотрудники (если необходимо) могут общаться с помощью систем сообщений в любом точке земного шара без ограничений.

Вследствие причин безопасности вы должны изменить процесс управления в сети вашей компании, чтобы все ваши серверы (по крайней мере те, что подключены к интернет) получали обновления, которые доступны в сети. Здесь служба Windows Server Update Services (WSUS) или любой другой механизм управления поможет поддерживать более высокий уровень безопасности.

Для того, чтобы убедиться, что ваша конфигурация настолько безопасно, насколько она должна быть, то вы должны протестировать ее, и если вы настроили все в правильно, то проблем с безопасностью не должно возникать. Многие компании успешно произвели эти настройки и очень довольны своими новыми службами, опубликованными в интернет.

Если у вас все еще есть вопросы, то не стесняйтесь и свяжитесь со мной.





Рейтинг:  
2.4 (голосов 17)  
 1   2   3   4   5    

Автор: Маркус Клейн (Markus Klein)
Маркус Клейн (Markus Klein) является MCSA/MCSE Messaging & Security и Microsoft Certified Trainer (инструктором, сертифицированным Microsoft). Он работает в качестве Консультанта и Старшего IT Инструктора в Bechtle AG на северо-западе Германии. Он специализируется на Active Directory, Exchange, Security, ISA Server и Clustering на Windows 2000 и Windows Server 2003 разработках, миграциях и реализациях. Маркус имеет ученую степень по экономической информатики от Университета Прикладной Науки в Osnabrueck, Германия.
Эта статья переведена и опубликована с разрешения http://www.msexchange.org

Эта статья переведена силами и средствами компании Red Line Software. Размещение данного переведенного материала на других сайтах без разрешения компании Red Line Software запрещается.





Работает на «Битрикс: Управление сайтом»
Работает на «Битрикс:
 Управление сайтом»
© MSExchange.ru, 2005-2010