Microsoft Exchange 2000 Server的Internet配置
2008-02-23 06:13:49来源:互联网 阅读 ()
本文提供了Exchange 2000 Internet部署的建议配置。通过将Internet访问限制在一台机器并将传入的Internet消息限制在一个入口点,该配置在确保intranet安全的情况下实现了Internet访问。该配置为那些小型组织提供了安全的直接Internet访问,并且无需防火墙。
最好配置
下一节周详描述了担当邮件网关的Exchange服务器的建议配置。基本配置由配置了两个网卡的邮件网关组成,该网关担当intranet和Internet间的单一连接点。您需要在一台配置了双虚拟服务器的Exchange服务器上安装SMTP连接器:
虚拟服务器1的配置:
将虚拟服务器1配置为SMTP连接器。
通过外部DNS服务器列表将虚拟服务器配置为使用外部DNS服务器。
www.bitsCN.com
将虚拟服务器和25端口上的一个intranet IP地址绑定在一起。
输入本地公司域(例如,winery_co.co)。
注意:假如拓扑结构包含多个Exchange组织,您必须配置虚拟服务器来中继邮件。
虚拟服务器2的配置:
将虚拟服务器2配置为不中继邮件(这是默认的配置)。
将虚拟服务器2配置为允许匿名访问(这是默认的配置)。
将虚拟服务器2和端口25上的一个IP地址绑定在一起。
选择本地公司域(例如winery_co.co)。
将SMTP连接器配置为使用DNS路由连接器上的每个地址空间。将虚拟服务器1配置为SMTP连接器。创建一个"*"或同等的地址空间。
验证服务器上的两个网络间没有IP路由配置(这是默认的配置)。 www_bitscn_com
使用两个网卡:一个内部网卡和一个外部网卡。
邮件流动
关于intranet到Internet邮件流动的更多信息,请见Exchange 2000的联机文档。
内部邮件
通常,上面所述的Exchange服务器不参和内部邮件传输。内部邮件只在内部服务器间流动。
传入的Internet邮件
来自Internet的消息指向某个IP地址,而虚拟服务器2监控该IP地址的邮件。虚拟服务器2接收任何传入的Internet邮件。因为该服务器没有配置为中继邮件,任何他拒绝不指向公司域的邮件。当虚拟服务器2接收到发往本地域内部主机的Internet邮件,他将通过内部网卡和Microsoft Active Directory™联系,以确定该消息的目的地。于是,虚拟服务器2收到的消息将直接发给内部主机。
注意:尽管虚拟服务器2监控来自外部IP地址的邮件,但他使用适合于路由消息的任意IP地址,具体取决于路由表。虚拟服务器2仅使用内部DNS服务进行名字解析。他并没有配置外部DNS服务器列表,所以他并不解析外部地址。他只接收域名为该公司域的消息,本例中即域名为winery-co.co的消息。
bbs.bitsCN.com
传出的Internet消息
传出的消息使用虚拟服务器1上的SMTP连接器。外部IP地址通常在内部DNS服务器上不可用。当虚拟服务器1接收到指向远程域的消息时,他使用外部DNS服务器列表来查找消息收件人的IP地址,同时使用外部网卡来投递该外部邮件。很一点很值得注意:尽管虚拟服务器1被配置为监控intranet的IP地址,但他使用Internet网卡处理外部邮件。 下图说明了邮件流经连接器的情况。图中左侧的图表说明了来自intranet用户邮件的流动。
当intranet用户向Internet收件人发送邮件时,该邮件将发往虚拟服务器1。因为SMTP连接器配置了SMTP地址空间"*",并将虚拟服务器1用作本地桥头,所以发往外部SMTP地址的任何邮件都首先被路由到虚拟服务器1。虚拟服务器1使用外部DNS服务器列表来解析Internet地址,然后将消息路由到Internet收件人的IP地址。 www.bitsCN.com
图右侧的图表说明了指向内部收件人的Internet邮件的流动情况。任何传入的Internet邮件都将发往虚拟服务器2,也就是监控Internet IP地址的服务器。当虚拟服务器2接收到Internet消息时,他将使用内部DNS服务来解析收件人地址。因为虚拟服务器2只使用内部DNS服务,所以他只接收指向本地域(本例中为users@winery-co.co)的消息。此外,因为虚拟服务器2没有配置为中继邮件,所以地址为非本地域的收件人的任何邮件将自动被拒绝。
安全建议
使用以下建议来增强本配置的安全性:
使用Internet Protocol安全(IPSec)策略来过滤Internet网卡上的端口。确保该电脑被配置为只接受来自网卡25端口的入站连接。这样就消除了受Internet主机攻击的可能性。关于IPSec策略的更多信息,请见Exchange 2000资源工具箱或Microsoft Windows® 2000联机文档。
严格地限制有权登录到该服务器的用户。公司能够减少来自Internet或intranet的入口点,从而限制这一配置的脆弱性。通过禁止Internet上的虚拟服务器将消息中继到其他Internet主机,您实际确保了该虚拟服务器只路由地址为合法内部收件人的邮件。因为虚拟服务器1仅将外部DNS服务器列表用于传出的Internet邮件,而不是用于路由Internet邮件,所以任何内部邮件流通将不受外部DNS服务器故障的影响。无论外部DNS服务器发生了什么问题,本地邮件投递都能够继续进行。通过隔离入站Internet邮件、内部邮件和出站Internet邮件的进程,这三个进程的故障点将保持单独,因而更易于管理。
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
