为即时消息配置防火墙
在一个遵守最佳安全性经验的ISA Server部署中,禁止了所有流量,然后仅允许必要的流量。此时,防火墙客户端与SecureNAT客户端一样,需要为即时文本消息创建一个用于预定义MSN Messenger协议的访问策略规则。为了仅为防火墙客户端配置即时文本消息,请安装为SecureNAT客户端配置文本消息的步骤说明进行操作。
除了即时聊天消息以外,ISA Server防火墙客户端还可以使用文件传输特性。为了进行文件传输,发起的计算机必须将它的IP地址通过即时消息服务器传输给另一个客户端。为了使防火墙客户端避免NAT问题,您需要确保暴露ISA Server外部接口的IP地址,而不是内部地址。您可以在防火墙客户端的应用程序中加入NameResolutionForLocalHost=E,就能实现这个功能。在更改了ISA Server计算机中的应用程序设置后,必须更新防火墙客户端设置。
为文件传输定义第二个端口也需要新建协议定义。(ISA Server预定义MSN Messenger协议仅定义了端口1863。)
对于文件传输而言,传入和传出TCP连接都使用端口6891到6900。这使得每个传送者能够同时进行10个文件传输。如果只定义了端口6891,那么每次只能完成一个文件传输。在配置了这些设置后,文件传输过程中即时消息服务器将接受到外部接口的IP地址,然后将其传送给另一个客户端。第二端口使得内部消息客户端能够接收来自接收计算机的请求。
为了自动地为防火墙客户端配置这些设置,请下载Msnim.vbs,您可以从ISA Server Tools Repository获得该文件。然后按照下列步骤操作:
在ISA Server计算机Msnim.vbs。
重新启动防火墙服务。
退出即时消息客户端应用程序。(不要只是注销。)
刷新防火墙客户端。
重新启动即时消息客户端应用程序。
最佳经验
通过理解在公司中使用即时消息的意义,并实施最佳的策略,您可以使用即时消息特性来为您的业务服务,而不危及安全性要求。您的最佳策略将基于下面几点:
理解公司中使用即时消息特性所固有的安全性问题。
理解您如何在防火墙系统中使用即时消息,以及防火墙配置所产生的限制。
安全的防火墙配置,用于管理通过您公司的即时消息的安全性。
一致的实施策略,用于管理客户端计算机中的即时消息。