編者語：在本周六51CTO將會(huì)舉辦51CTO技術(shù)沙龍：Windows運(yùn)維那些事兒，在當(dāng)天微軟MVP岳雷老師將會(huì)為大家講解《關(guān)于Forefront TMG升級(jí)與運(yùn)維的那些事兒》。目前沙龍報(bào)名正在進(jìn)行中，假如有興趣了解Forefront TMG的朋友可以報(bào)名參加。本次沙龍為免費(fèi)參加，報(bào)名請(qǐng)點(diǎn)擊此處

【51CTO精選譯文】在本文中，你將學(xué)習(xí)如何借助Forefront TMG的先進(jìn)功能來改善Exchange 2010的安全性。

構(gòu)筑Exchange 2010的一大重要內(nèi)容，就是讓用戶可以不受時(shí)間與空間的限制，隨心所欲地收發(fā)郵件。對(duì)于你的用戶而言，這一功能將大大簡化他們的工作流程；然而對(duì)于作為管理員的你來說，這卻意味著更大的工作量，因?yàn)槟惚仨氁_保Exchange Server免受來自企業(yè)之外網(wǎng)絡(luò)的攻擊。

我常常看到Exchange 2010借由允許各種端口訪問的方式被直接發(fā)布到互聯(lián)網(wǎng)上。無論如何，這種做法其實(shí)破壞了Forefront TMG的大部分安全功能。Forefront支持身份預(yù)驗(yàn)證，也就是說用戶不必直接通過Exchange Server的身份驗(yàn)證，而是只要提前通過Forefront的驗(yàn)證就能登陸。而Forefront擁有接入Exchange服務(wù)器的最高權(quán)限。

這種方式提高了應(yīng)對(duì)各種負(fù)面情況時(shí)的安全性；其優(yōu)勢(shì)之一是，你不必將Exchange直接發(fā)布到互聯(lián)網(wǎng)上。而Forefront的另一安全保障特色是，它同時(shí)可以作為網(wǎng)頁代理進(jìn)行運(yùn)作。這種運(yùn)作方式的保護(hù)機(jī)制同樣是基于身份預(yù)驗(yàn)證。任何人都無法從網(wǎng)絡(luò)上查看你的Exchange Server，因?yàn)樗恢碧幱诜阑饓Φ耐耆Ｗo(hù)之下。

Forefront同樣支持應(yīng)對(duì)網(wǎng)頁過濾器和電子郵件過濾器。當(dāng)接入Exchange的申請(qǐng)受到SSL安全保護(hù)（SSL絕對(duì)是提供基本安全保障的必備工具），并且僅僅通過防火墻的檢測后就抵達(dá)了Exchange，這些過濾器是無法正常生效的，因?yàn)樗鼈兯茏x取到的只是經(jīng)過加密的字節(jié)流。Forefront能與SSL橋接并協(xié)作，這意味著用戶們?nèi)匀豢梢允褂肧SL來訪問他們的電子郵件，只不過Forefront會(huì)對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行監(jiān)控。

在SSL橋接之后，用戶可以建立由SSL至Forefront TMG的連接通道，而Forefront TMG則同時(shí)建立一個(gè)由SSL至Exchange的連接通道。這樣一來，當(dāng)通路關(guān)閉時(shí)Forefront就可以監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流。無論如何，即便SSL無法讓用戶直接與Exchange相連通，所有的網(wǎng)絡(luò)數(shù)據(jù)流也始終處于SSL的保護(hù)之下。

在我開始著手介紹具體的設(shè)置步驟之前，我想先向大家展示一幅圖片，它通過將整個(gè)網(wǎng)絡(luò)體系的拓?fù)浼軜?gòu)圖形化來列舉實(shí)踐本篇指南文章的前提條件。對(duì)我來說網(wǎng)絡(luò)拓樸結(jié)構(gòu)非常簡明，但它其實(shí)還可以進(jìn)一步簡化。Exchange 2010的訪問服務(wù)客戶端與電子郵箱服務(wù)是可以共存于一臺(tái)服務(wù)器上的，沒必要將它們分別安裝在獨(dú)立的主機(jī)上。

使用Forefront TMG來對(duì)Exchange 2010進(jìn)行安全保護(hù)的前提條件

1. 能夠正常運(yùn)行的Exchange 2010并安裝 Forefront TMG。

2. 你必須對(duì)Split-DNS進(jìn)行配置，這意味著你要保證自己的內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)使用同一個(gè)域名。我用的域名是contoso.com，以下內(nèi)容以此為例。

3. Outlook頁面應(yīng)用程序（簡稱OWA）、Outlook Anywhere以及Exchange ActiveSync都使用mail.contoso.com作為其正式域名。

4. 你還需要一份有效的認(rèn)證。Mail.contoso.com必須是經(jīng)過認(rèn)證的主體，并且autodiscover.contoso.com必須被列入“Subject Alternative Name（主體備用名稱）”當(dāng)中。

如果大家能夠滿足以上幾項(xiàng)前提條件，我們就可以在我的下一篇指南文章《分步指南：保障你的Exchange 2010 Server安全》中繼續(xù)探討Forefront TMG的使用。

原文地址：http://4sysops.com/archives/secure-your-exchange-2010-server-with-forefront-tmg-part-1/

【51CTO精選譯文 未經(jīng)允許謝絕轉(zhuǎn)載 合作媒體轉(zhuǎn)載請(qǐng)標(biāo)明出處與作者】

【編輯推薦】

1. 執(zhí)行 Exchange 2010 自定義安裝
2. Exchange 2010 先決條件
3. Exchange 2010 系統(tǒng)要求
4. Exchange 2010遷移前的環(huán)境概述
5. 在 Exchange 2010 環(huán)境中安裝 Exchange 2003/2007