实现Exchange2003安全全集(下)
客户端连接邮件服务器的方式: E-Mail Access Using Web Clients E-Mail Access Using Outlook Clients E-Mail Access Using POP3,IMAP4,and NNTP Clients
E-Mail Access Using Web Clients -->见下图:
E-Mail Access Using Outlook Clients -->见下图:
E-Mail Access Using POP3,IMAP4,and NNTP Clients -->见下图:
使用ISA确保安全的E-mail的WEB客户端连接: How Does ISA Server Secure OWA Connections? How to Configure ISA Server to Enable OWA Access How to Configure Forms-Based Authentication How to Configure ISA Server to Enable Access for other Web Clients
How Does ISA Server Secure OWA Connections? -->见下图:
How to Configure ISA Server to Enable OWA Access --> To configure ISA Server to enable OWA access: 1. Install a digital certificate on the OWA server and configure IIS to require SSL connections to the OWA virtual directories 2. Use the Mail Server Publishing Wizard to publish the OWA server 3. Configure a bridging mode. For best security,secure the connection from client to ISA Server and from ISA Server to OWA server 4. Configure a Web listener for OWA publishing Choose forms-based authentication and SSL for the Web listener
How to Configure Forms-Based Authentication -->见下图:
How to Configure ISA Server to Enable Access for other Web Clients -->见下图:
我来到一台计算机名称叫做Beijing的计算机 它既是第一台Exchange服务器也是域控制器 并且它也是一台CA服务器 现在我来为这台计算机申请一个证书 打开IE浏览器--在地址里面输入 http://beijing/certsrv 按回车键 输入用户名(administrator)和密码 按确定 在选择一个任务里面按申请一个证书 在选择一个证书类型里面按高级证书申请 在高级证书申请里面按创建并向此CA提交一个申请 在证书模板里面选择Web服务器--证书的姓名就叫做beijing.yejunsheng.com吧 注意:还要把将证书保存在本地计算机存储中那一项沟上 按提交--此时它提示此网站正在代表您请求一个新的证书.你应该只允许信任的网站为您请求证书.你想现在请求证书吗? 你按是 按安装此证书--此时它又提示你想让此程序现在添加证书吗? 如果你信任此网站,请单击"是".否则,请单击"否". 你按是就ok了 现在证书就已经被申请到叫做Beijing这台Exchange服务器上了 那么那一步工作我们应该配置IIS 让它使用我刚才申请的证书
通过开始--程序--管理工具--按Internet 信息服务(IIS)管理器 展开BEIJING(本地计算机)--网站--对着默认网站右键--选择属性--按目录安全性--按服务器证书 这个时候就弹出欢迎使用Web服务器证书向导了 接着下一步
在IIS证书向导里面选择分配现有证书 接着下一步 在选择证书里面按服务器验证那一项 服务器验证这一项就是我刚才申请到的证书 接着下一步 我们都知道SSL使用的端口是443 所以就保持默认值吧 接着下一步 按完就ok了 现在我已经把证书分配给IIS里面的默认网站了 注意:这个时候IIS配置工作还没有结束 我们还需要对Exchange这个虚拟目录 ExchWeb虚拟目录 以及Public这个虚拟目录进行额外地配置
对着Exchange(虚拟目录)右键--选择属性--按目录安全性--按编辑--把要求安全通道(SSL)沟上 按确定 我做这个操作的目的是使客户端只能使用SSL来连接到Exchange服务器 从而增加Exchange邮件服务器的安全性
同样也需要对ExchWeb(虚拟目录)做相同的操作 对着ExchWeb(虚拟目录)右键--选择属性--按目录安全性--按编辑--把要求安全通道(SSL)沟上 按确定
最后也需要对Public(虚拟目录)做相同的操作 对着Public(虚拟目录)右键--选择属性--按目录安全性--按编辑--把要求安全通道(SSL)沟上 按确定 现在我对IIS服务器的工作已经结束了 接下来我需要到ISA服务器上做相应地配置了
我现在来到一台计算机名称叫做Florence的计算机 它是一台ISA Server 2004服务器 我需要对ISA服务器做二件事情 第一件事是为ISA服务器申请一个证书 第二件事是在ISA服务器上来配置出版OWA服务器向导 通过开始--程序--Microsoft ISA Server--选择ISA 服务器管理 因为ISA服务器本身是一个防火墙 它默认情况下并不允许到CA服务器上做http这种连接 所以我必需先配置一下访问规则 配置这条规则的目的是使ISA服务器能够顺利地访问到叫做Beijing这台CA服务器上来申请证书 在Microsoft Internet Security and Acceleration Server 2004界面里面展开阵列--FLORENCE--按防火墙策略(FLORENCE)--按工具箱--按网络对象--按新建--选择URL集(U) 名称就叫做CA吧 按新建--输入 http://beijing.yejunsheng.com/certsrv/ * 按确定
现在我来创建一条阵列访问规则 在防火墙策略(FLORENCE)里面按任务--按创建阵列访问规则 访问规则名称就叫做allowed http from firewall to CA吧 接着下一步 在符合规则条件时要执行的操作里面选择允许 接着下一步
在此规则应用到里面按三角形--选择所选的协议--按添加--按HTTP按添加 按关闭 接着下一步
在此规则应用于来自这些源的通讯里面按添加--展开网络--因为源肯定是ISA服务器自己了 所以按本地主机--按添加--按关闭 接着下一步
在规则应用于发送到这些目标的通讯里面按添加--展开URL集--目标就是我刚才创建的那个URL集 就是CA服务器的http 按CA--按添加 按关闭 接着下一步 在此规则应用于来自下列用户集的请求里面保持默认值(所有用户) 接着下一步
这是最后一步了 按完成
注意: 最后还需要按一下应用 我刚才创建的防火墙策略规则才会生效的 现在我已经在ISA服务器上创建了一条访问规则策略是允许ISA服务器到Beijing这台CA服务器上来申请证书了
现在我为ISA服务器来申请一个证书 打开IE浏览器--在地址里面输入 http://beijing.yejunsheng.com/certsrv 按回车键 输入用户名(administrator)和密码 按确定 在选择一个任务里面按申请一个证书 在选择一个证书类型里面按高级证书申请 在高级证书申请里面按创建并向此CA提交一个申请 在证书模板里面选择Web服务器--姓名就叫做mail.yejunsheng.com吧 注意:还需要把将证书保存在本地计算机存储中那一项沟上 按提交 最后按安装此证书就ok了 目前我已经为计算机名称叫做Florence这台ISA Server 2004服务器成功申请一个证书了 那么对于ISA服务器第一件事就已经配置完成了 第二件事就是将为ISA服务器创建一个出版规则 然后把OWA服务器出版出去
为了做出版规则这个操作 我就先去创建一个Web侦听器 因为Web侦听器是出版OWA这种访问规则的一个前提 按防火墙策略(FLORENCE)--按工具箱--按新建--选择Web侦听器 Web侦听器名称就叫做external 443吧 接着下一步 这个Web侦听器应该去侦听外部网络 也就是说OWA客户端从那一块网卡到ISA服务器的那一块网卡发送OWA请求 应该是外部网卡 所以在侦听来自这些网络的请求里面把外部沟上 接着下一步
在当前界面中不使用HTTP 而是使用SSL 把启用HTTP的沟去掉 然后把启用SSL沟上 如果你想使用SSL的话必需用到证书 这就是为什么我刚才为ISA服务器去申请一个证书的目的 在证书那一项--按选择 现在可以看到刚才为ISA服务器申请的证书了 选中这个证书 按确定 接着下一步
这是最后一步了 按完成
注意: 最后还需要按一下应用 我刚才创建出版规则才会生效的
接着创建一个邮件服务器来把OWA服务器出版出去 按任务--按发布一个邮件服务器--邮件服务器发布规则向导名称就叫做publish mail(OWA)吧 接着下一步 在选择访问类型里面选择Web客户端访问: Outlook Web Access (OWA),Outlook Mobile Access,Exchange Server ActiveSync(W) 接着下一步
在Web客户端邮件服务里面保持默认值(沟上OutLook Web Access)(W)就可以了 接着下一步 在桥接模式里面选择加密到客户端和邮件服务器的连接 表示两边都是使用SSL 都是加密传输的 它是最安全的 因此我们就选择这项吧 接着下一步
Web邮件服务器应该是谁呢? 它应该是Exchange服务器 它的完全计算机名称就叫做beijing.yejunsheng.com 所以在Web邮件服务器(W)里面输入beijing.yejunsheng.com 接着下一步 在公共名称里面输入mail.yejunsheng.com 这个mail.yejunsheng.com就是Internet的客户端 它们在浏览器里面输入的名称 所以我们就叫做公共名称 接着下一步
在Web侦听器里面选择我刚才创建的external 443 接着下一步 在此规则应用于来自下列用户集的请求里面保持默认值(所有用户) 接着下一步
这是最后一步了 按完成就ok了
注意: 最后还需要按一下应用 我刚才创建的防火墙策略规则才会生效的 这个时候就可以到Internet客户端的计算机上打开IE浏览器--在地址里面输入 https://mail.yejunsheng.com/exchange 按回车键 输入用户名和密码按回车键就可以访问到自己的邮箱了