正在阅读:Exchange服务器的安全性增强方案Exchange服务器的安全性增强方案

2008-02-18 09:10 出处:计世网 作者:佚名 责任编辑:shiyun

  服务帐号

  你可能知道,Exchange服务器使用服务帐号和WindowsNT安全系统交互的,这个服务帐号有个巨大的安全漏洞,因为它有太多干预Exchange的权利。可惜,不能禁止服务帐号或减少它的权利,所以最好另想办法。

  安装Exchange的时候,选择不明显的用户名,例如,可以使用不和你一起工作好朋友的名字。

  除非你非常清楚在做什么,否则不要重命名现有的服务帐号。这么做会导致Exchange工作不正常。

  应该为帐号使用密码,Internet上有很多破解密码的程序,其中一些把你的密码(从登记中提取出来的)和字典中的词比较,有些用户尝试所有可能的组合。所以,越长、越晦涩、加密,密码就越好,最好的密码混用大写和小写符号和数字。Internet连接

  到现在为止,向你展示的都是基本的保护Exchange的技术,但是,因为最强的威胁来自Internet,保证Internet连接的安全也是不错的主意。

  代理服务器

  使用代理服务器是保护网络不受Internet用户袭击的好方法,代理服务器需要多个WindowsNT服务器。就是说服务器必须有两个网卡,一个连接Internet,另一个连接你的网络。所有和Internet传送的数据都要通过代理服务器,使用代理服务器的优点就是Internet用户只能看见你的网络的IP地址--服务器的地址。所有其他的IP地址都被代理服务器屏蔽,不会传到Internet上。从Internet上的外部用户来看,从你的网络中发出的数据都像是从代理服务器中发出的一样,因为所有的IP地址都是隐藏的,使用TCP/IP调用进入网络就很难。有了代理服务器,就有了禁止不同的TCP/IP端口和协议的能力,只打开需要的端口和协议,减少了使用TCP/IP组件用户攻击网络的危险。

  Exchange体系结构

  我们已经解释过,最好的保护Exchange服务器的方法是保护NT,对Internet屏蔽你的网络。但是,无论你怎样阻止和过滤,总是有人溜进来的可能。还有另一种简单的保护Exchange的方法。

  首先,需要另一个Exchange服务器,只用来做SMTP路由。把这个Exchange放在另一台闲置服务器上,让新服务器成为网络的一部分。让它作为Internet邮件连接器,所有的邮箱和公共目录都在其他的服务器上。

  新服务器会把邮件发送到相应的邮箱中,如果有人发动DoS攻击,只需关闭保护服务器即可,攻击不会影响到其他的包括邮箱和公共目录的服务器。因为内部数据不和直接连接到Internet的服务器发生关系,所以这样配置Exchange也是防止信息盗窃和欺骗的好方法。

  你可能想知道这种技术到底有多有效,毕竟,安全服务器也是要通过TCP/IP协议连接到Internet的。同样地,其他服务器可能也使用TCP/IP。所以,你会怀疑黑客是否会通过代理服务器进入保护服务器,它们可能进入其他的Exchange服务器。

  我们刚讲的技术有用是因为它可以用在网络的不同段。防火墙堵住大部分TCP/IP端口,正因为如此,想偷邮件、欺骗帐号、发起DoS攻击可能通过SMTP调用获得进入服务器的权限。即使它们进入服务器,Exchange也不用SMTP在本地服务器之间通信。它们用RPC(远程过程调用),因为这样,你的服务器就可以有不承认SMTP通信的邮件箱和公共目录,因此数据就可以不受这样的攻击。

  Exchange内部的安全设置

  在Exchange内部也有好多参数需要调整,例如,DoS攻击向服务器发送大量邮件,阻塞服务器。虽然用保护服务器隔离了SMTP数据但也不能让保护服务器总受DoS攻击。阻止这种攻击的一种方法是设置进入的消息数量。

  打开Exchange管理器,"管理"→"站点"→"配置服务器"→"ServerRecipients"(服务器接收者)。然后,在文件菜单中,选择接收者,单击Properties(属性)。在属性页中,选择"Limits"(限制)标签,可以设置每个用户的最大入站信息量。为大部分用户设置小一些,为经常接收大附件的用户设置大些。

  结论

  电子邮件系统通常是Internet用户的目标,所以保护Exchange服务器不受Internet攻击非常重要。本文解释了一些可以提高Exchange安全的技术。

键盘也能翻页,试试“← →”键

相关文章

关注我们

最新资讯离线随时看 聊天吐槽赢奖品