增强Exchange服务器的安全性(2)
来源:asp之家 发布时间:2010-02-28 19:03:00
服务帐号
你可能知道,Exchange服务器使用服务帐号和Windows NT安全系统交互的,这个服务帐号有个巨大的安全漏洞,因为它有太多干预Exchange的权利。可惜,不能禁止服务帐号或减少它的权利,所以最好另想办法。
安装Exchange的时候,选择不明显的用户名,例如,可以使用不和你一起工作好朋友的名字。
除非你非常清楚在做什么,否则不要重命名现有的服务帐号。这么做会导致Exchange工作不正常。
应该为帐号使用密码,Internet上有很多破解密码的程序,其中一些把你的密码(从登记中提取出来的)和字典中的词比较,有些用户尝试所有可能的组合。所以,越长、越晦涩、加密,密码就越好,最好的密码混用大写和小写符号和数字。Internet连接
到现在为止,向你展示的都是基本的保护Exchange的技术,但是,因为最强的威胁来自Internet,保证Internet连接的安全也是不错的主意。
代理服务器
使用代理服务器是保护网络不受Internet用户袭击的好方法,代理服务器需要多个Windows NT服务器。就是说服务器必须有两个网卡,一个连接Internet,另一个连接你的网络。所有和Internet传送的数据都要通过代理服务器,使用代理服务器的优点就是Internet用户只能看见你的网络的IP地址--服务器的地址。所有其他的IP地址都被代理服务器屏蔽,不会传到Internet上。从Internet上的外部用户来看,从你的网络中发出的数据都像是从代理服务器中发出的一样,因为所有的IP地址都是隐藏的,使用TCP/IP调用进入网络就很难。有了代理服务器,就有了禁止不同的TCP/IP端口和协议的能力,只打开需要的端口和协议,减少了使用TCP/IP组件用户攻击网络的危险。
Exchange体系结构
我们已经解释过,最好的保护Exchange服务器的方法是保护NT,对Internet屏蔽你的网络。但是,无论你怎样阻止和过滤,总是有人溜进来的可能。还有另一种简单的保护Exchange的方法。
首先,需要另一个Exchange服务器,只用来做smtp路由。把这个Exchange放在另一台闲置服务器上,让新服务器成为网络的一部分。让它作为Internet邮件连接器,所有的邮箱和公共目录都在其他的服务器上。
新服务器会把邮件发送到相应的邮箱中,如果有人发动DoS攻击,只需关闭保护服务器即可,攻击不会影响到其他的包括邮箱和公共目录的服务器。因为内部数据不和直接连接到Internet的服务器 * ,所以这样配置Exchange也是防止信息盗窃和欺骗的好方法。
你可能想知道这种技术到底有多有效,毕竟,安全服务器也是要通过TCP/IP协议连接到Internet的。同样地,其他服务器可能也使用TCP/IP。所以,你会怀疑黑客是否会通过代理服务器进入保护服务器,它们可能进入其他的Exchange服务器。
我们刚讲的技术有用是因为它可以用在网络的不同段。防火墙堵住大部分TCP/IP端口,正因为如此,想偷邮件、欺骗帐号、发起DoS攻击可能通过SMTP调用获得进入服务器的权限。即使它们进入服务器,Exchange也不用SMTP在本地服务器之间通信。它们用RPC(远程过程调用),因为这样,你的服务器就可以有不承认smtp通信的邮件箱和公共目录,因此数据就可以不受这样的攻击。
Exchange内部的安全设置
在Exchange内部也有好多参数需要调整,例如,DoS攻击向服务器发送大量邮件,阻塞服务器。虽然用保护服务器隔离了smtp数据但也不能让保护服务器总受DoS攻击。阻止这种攻击的一种方法是设置进入的消息数量。
打开Exchange管理器,"管理"→"站点"→"配置服务器"→"Server Recipients"(服务器接收者)。然后,在文件菜单中,选择接收者,单击Properties(属性)。在属性页中,选择"Limits"(限制)标签,可以设置每个用户的最大入站信息量。为大部分用户设置小一些,为经常接收大附件的用户设置大些。
结论
电子邮件系统通常是Internet用户的目标,所以保护Exchange服务器不受Internet攻击非常重要。本文解释了一些可以提高Exchange安全的技术。
猜你喜欢
- 12月3日消息,据国外媒体报道,微软将发布更新版本的地图服务。这项服务将有街道级的视图和跟踪鸣叫、交通和其它具体位置数据的新的应用程序。微软
- 如果你想禁止Google收录你的网页内容,你可以在网页代码里使用Google支持的系列Meta标签。但如果你有些网页希望文字内容被收录,但又
- 做博客和个人网站的朋友们注意了,辛辛苦苦做网站和编辑博客,好不容易来几个流量,本来以为可以赚点广告费来支撑站点的正常运营,可是每次点击只有几
- 我们都知道外部链接可以提高网站权威、排名靠前,在搜索引擎面前,链接其实就代表投票,外部链接就是网站之间的互相投票,而内部链接则代表了网站内的
- 北京时间10月14日上午消息,据国外媒体报道,消息人士透露,温思坦影业(Weinstein Company)准备将旗下富豪社交网络ASmal
- 解决w3wp.exe内存占用问题在IIS6下,经常出现w3wp的内存占用不能及时释放,从而导致服务器响应速度很慢。今天研究了一下,可以做以下
- 什么是日志文件?它是一些文件系统集合,依靠建立起的各种数据的日志文件而存在。在任何系统发生崩溃或需要重新启动时,数据就遵从日志文件中的信息记
- 做站半年多了,因为我当时做站的目的就是帮助想创业的人,因此我把我这一段时间的过程和经验同大家分享。2006年我就知道做网站很有前途,但一直到
- 日前, 百度旗下网络购物平台“有啊”正式上线其B2C旗舰店频道“名品&r
- 所谓的“人肉营销”,其实就是人所皆知的“网络营销员”。在工作之余,每天用1-2小时时间上网,进论坛发贴子、发电子邮件、与客户QQ沟通等,推荐
- 笔者水平不高,所学知识也大多是网上搜索而来。2006年终于赚得人生的第一筐土豆,07年初工作进入新的阶段,闲来无事,灌水自娱。总诀其实本文只
- 越来越多的网站和博客开始投放Google AdSense广告,随之而来的是每个发布者的喜悦和烦恼。“今天的广告费又多了”,“单价竟然上涨了0
- DedeCMS自带Rss功能,在管理后台可以生成出一个Rss地图页面,默认是/data/rssmap.html;这个Html地图文件会告知用
- iCafeScan(TM)网吧360°9月监测数据显示,地下城与勇士、穿越火线在激烈的市场竞争中牢牢稳居网游一线阵营,市场地
- 本教程为大家介绍 UCenter Home 1.5 的安装方法(以虚拟主机为例)。在安装 UCenter Home 1.5 之前,请确认在服
- 以下是我的一些经验,希望对你有用,但你要知道,绝对的安全是没有的。这才是一个网管存在的理由。所以。未雨绸缪是件好事。但亡羊补牢也不是下策。请
- 对于个人站长当我来说一切都想着免费的,想通过花最少的钱来赚到最大的利润,所以我架设的wordpress博客是在一家美国的老牌免费服务器上,这
- DEDECMS问答模块rewrite伪静态设置教程:搭配环境一:服务器软件:apache操作系统:windows XP实现步骤:
- HI,我叫Alvaro Guzman,这是别样wordpress模版的第二部分。在这节课里,将学到如何运用,XHML+CSS来建一个网页。还