电脑技术学习

Exchange Server 2007如何御敌于门外

dn001

  二、 采用尽量少的端口,保障服务器的安全。

  我们都知道,无论是木马还是病毒,又或者垃圾邮件,等等,他们要能够攻击邮箱服务器的话,首先必须找到一些可以被利用的端口。换句话说,服务器开放的端口越多,其被攻击的可能性也就越大。

  而边缘服务器处在企业内网与外网的中间,若其开发过多的端口的话,则就可能会成为黑客、病毒等攻击的目标。为此,边缘服务器采用了特殊的技术,来避免过多的开放相关的端口。

  如边缘服务器的话,可以在没有活动目录的情况下,也就是说不用加入到域,直接在工作组的环境下工作。这个最大的好处,就是不需要用到很多的端口。我们知道,若需要跟活动目录服务器进行联系的话,需要开放很多的端口,如DNS端口、TCP/IP查询端口等等,而这些端口若开发的话,则很可能会发生一些地址欺骗等攻击。所以,边缘服务器就索性关闭了这些端口,使得非法入侵者根本没有机会借这些端口进行非法攻击。

  但是,边缘服务器需要正常工作,还必须从活动目录中那边取得一些信息,这是如何实现的呢?服务器在这方面,采用了一种叫做EDGESYNC的服务。他的作用,就是在边缘服务器跟活动目录之间进行信息的同步。根据邮箱管理员的设置,EDGESYNC服务会定期的把内网的活动目录中的相关信息,同步到边缘服务器上。为此,边缘服务器其实没有直接跟活动目录进行通信,就可以去的其所需要的信息。为此,边缘服务器也就没有必要打开那些比较危险的端口,从而保障自己的安全。

  邮箱管理员可以根据企业的需要,自己设计是自动更新信息呢,还是手工更新相关的信息。

  根据专家的说法,边缘服务器一般只需要打开两个端口,即25号端口与EDGESYNC服务所需要用到的端口,就可以进行正常的工作。如此的话,就可以最大限度的保障边缘服务器的安全。设想一下,若没有边缘服务器在这里起作用,而把企业的邮箱服务器直接部署在边缘服务器的位置上,他们他们因为需要开发很多的端口,必将成为木马、病毒等攻击的对象。端口开放的多了,即使采用最周密的安全防卫体系,但是也难免百密而一疏,从而给非法入侵者可乘之机。

  综上所述,边缘服务器可以在没有活动目录的环境下,也就是说在工作组的网络背景下运行。为此,边缘服务器就可以不需要运行过多的服务,打开过多的端口。运行的服务少了,打开的端口少了,那么自己被攻击的可能性也就会小的多。所以,企业部署边缘服务器,可能会在很大程度上,提高企业内部邮箱服务器系统的安全性。