1、 xXx公司 邮件安全解决方案 微软(中国)有限公司 目录 第1章 管理层总论 3 第2章 需求分析 3 第3章 整体方案建议 4 第4章 Microsoft Forefront Security for Exchange Server 5 第5章 AD RMS权限管理服务 12 第6章 ISA Server 2006的边界防护(可选) 14 第7章 软件配置 22
2、 第8章 部署实施 22 第9章 附录:Exchange 2007邮件系统 23 44 / 44 第1章 管理层总论 当今,电子邮件已成为企业必不可少的一种高效通讯手段,大家通过邮件进行内部和外部的沟通。在大家受益于电子邮件通讯时,也发现针对电子邮件的威胁随之而来。病毒,垃圾邮件以及信息泄露等正威胁着企业。微软的电子邮件安全解决方案能够对基于微软平台的电子邮件系统从如下方面进行纵深防护。 利用微软的产品和解决方案为XX公司构建安全、稳定、投资回报最大化的企业邮件系统架构,包括: 1. 基于Exchange Server 2007和ForeFront的安全邮件服务
3、 2. 基于ISA Server的邮件服务器发布和边界安全防护(可选) 第2章 需求分析 XX公司目前的现有网络拓扑如下图所示: 请将客户的网络拓扑或者核心架构图置于此 公司网络主要分为: l DMZ网络 l 办公网络 作为企业的关键应用之一,大家受益于电子邮件通讯时,也发现针对电子邮件的威胁随之而来。病毒,垃圾邮件以及信息泄露等正威胁着企业高效的垃圾邮件防护。客户经常遇到的问题包括: 1.日常工作中,电子邮件用不断的收到垃圾邮件以及病毒邮件的骚扰。 2.日常工作中,由于某些疏忽导致关键数据被意外的泄露,无法控制信息的受众对象。 3.现有厂商的单一引擎的杀毒软件漏杀率
4、都比比较高,如果使用多家厂商的软件,管理成本又很高。 4.如何实现邮件邮件服务器和企业门户服务器的安全访问(可选) 客户对于企业邮件系统的安全性和纵深防御上的要求主要表现在: 1. 及时高效的病毒邮件防护 2. 精确的信息内容过滤 3. 信息授权控制保密管理 4. 邮件服务器安全的远程访问(可选项目) 第3章 整体方案建议 微软的电子邮件安全解决方案通过Microsoft Exchange Server和 Forefront Server Security for Exchange的完美整合,提供了垃圾邮件,病毒防护以及内容过滤功能,通过部署基于Windows Server
5、2008的权限管理服务(RMS)进行邮件内容的权限控制管理,并可以通过ISA 2006为邮件服务提供安全高效的接入。 图1 邮件安全解决方案图示 全方位防护 微软邮件安全解决方案集成了垃圾邮件,病毒邮件,内容过滤以及邮件权限管理等技术,从多方面对邮件系统进行防护。 高效防护最新威胁 微软的邮件安全解决方案集成了最多达9个业界一流安全厂商的防护引擎,可以避免由于单一防护架构带来的对新威胁反映的弊病才 和系统架构完全高度整合 由于整个安全方案均有微软提供,所以可以充分的利用已有的微软架构比如AD, Exchange等,并且安全软件可以完美兼容微软最新的邮件服务器。
6、 低管理维护成本 虽然微软的邮件安全解决方案提供了最多达9种的防护引擎,但是管理界面是统一的,大大减轻了管理员的管理压力和维护成本。同时,因为整个系统均有微软提供,当碰到问题时,不会碰到各厂商互相推诿的情况。可以大大提高解决问题的效率。 快速和安全的访问 利用企业防护解决方案提供的深入的内容检查,细化的策略,以及全面的报警和监控功能,能够更加轻松地管理和保护您的网络,通过与 Microsoft 应用系统基础架构和 Windows 服务集成,ISA Server 2006 全面提高了企业网络的安全保护,实现快速和安全的企业邮件服务访问。 第4章 Microsoft Forefront
7、Security for Exchange Server 4.1 Forefront Security for Exchange Server概述 Microsoft Forefront Security for Exchange Server 将来自业界领先的安全公司的多个扫描引擎集成在单个解决方案中,帮助企业保护其 Exchange 邮件环境不受病毒、蠕虫和垃圾邮件侵害。它提供并集成了多个业界领先的防病毒引擎,为对抗最新威胁提供全面、分层的保护。通过与 Exchange Server 的深入集成、扫描技术的创新和对性能的控制,Forefront Security for Excha
8、nge Server 可以在维护正常工作和优化服务器性能的同时帮助保护邮件环境。Forefront Security for Exchange Server 还使管理员能够方便地对服务器的配置和操作、自动化的扫描引擎特征的更新以及在服务器和企业级别的报告功能进行管理。 Forefront Security for Exchange Server 包含由 Kaspersky Labs、CA 和 Sophos 等全球安全公司提供的业界领先的防病毒引擎。企业可以跨服务器系统以不同组合,一次运行多达五个扫描引擎。这样,就可以对新威胁快速作出响应,而不管威胁来自何方。Forefront Secur
9、ity for Exchange Server 可以自动下载最新特征,并选择要使用的最佳引擎组合,从而确保高水平的保护,并减少遭受任何特定威胁的可能性。防病毒引擎所具备的跨邮件服务器和客户端设备的多样性可以防止在 IT 环境中发生单点故障。 Forefront Security for Exchange Server 客户将获得高级反垃圾邮件服务。高级反垃圾邮件服务建立于 Exchange Server 2007 中基本级别的反垃圾邮件保护之上。 4.2 Forefront Security for Exchange Server 特点 Microsoft Forefront Se
10、curity for Exchange Server 通过强调利用分层防范措施、Exchange Server 性能及可用性的优化和简化管理控制的方法,帮助保护电子邮件基础架构,使其避免感染和停机。 Forefront Security for Exchange Server协助 Exchange Server 2007 全面防范病毒、蠕虫和垃圾邮件,用于为 Exchange 2007 边缘、中心和邮箱服务器角色提供保护。 • 全面保护: Microsoft Forefront Security for Exchange Server 将来自业界领先的安全公司的多个扫描引擎集成在一个解决
11、方案中,帮助企业保护其 Exchange 邮件环境,防范病毒、蠕虫和垃圾邮件。 • 经过优化的性能: 通过与 Exchange Server 的深入集成、扫描技术创新和性能控制,Forefront Security for Exchange Server 可以在保持正常工作时间和优化服务器性能的同时,帮助保护邮件环境。 • 简化的管理: Forefront Security for Exchange Server 还使管理员能够方便地在服务器和企业层面,对配置与操作、自动化扫描引擎特征的更新和报告功能进行管理。 4.3 Microsoft Forefront Security fo
12、r Exchange Server: 功能 Microsoft Forefront Security for Exchange Server 将来自业界领先安全公司的多个扫描引擎集成在一个解决方案中,帮助企业保护其 Exchange 邮件环境,防范病毒、蠕虫和垃圾邮件。它提供并集成了多个业界领先的防病毒引擎,为对抗最新威胁提供全面、分层的保护。通过与 Exchange Server 的深入集成、扫描技术的创新和对性能的控制,Forefront Security for Exchange Server 可以在保持正常工作和优化服务器性能的同时,帮助保护邮件环境。Forefront Securi
13、ty for Exchange Server 还使管理员能够在服务器和企业层面,方便地对服务器的配置和操作、自动化扫描引擎特征的更新和报告功能进行管理。 全面保护 用于实现高级保护的多个防病毒引擎 Forefront Security for Exchange Server 包含由 Kaspersky Labs、CA 和 Sophos 等全球安全公司提供的业界领先的防病毒引擎。企业可以在服务器系统中,以不同组合,一次运行多达五个扫描引擎。这样,就可以对新威胁快速作出响应,而不管威胁来自何方。Forefront Security for Exchange Server 可以自动下载
14、最新特征,并选择要使用的最佳引擎组合,从而确保高水平的保护,并减少遭受任何特定威胁的可能性。用于各种邮件服务器和客户端设备的防病毒引擎多样性可以防止在 IT 环境中发生单点故障。 高级垃圾邮件保护 Forefront Security for Exchange Server 客户将获得高级反垃圾邮件服务。高级反垃圾邮件服务建立于 Exchange Server 2007 中基本级别的反垃圾邮件保护之上,并添加了以下功能: • Exchange Server 2007 IP 信誉筛选器 — 它是专门为 Exchange Server 2007 客户提供的 IP 阻止列表。高级垃圾邮件保
15、护还能自动更新此筛选器。 • Microsoft Smartscreen 垃圾邮件启发、仿冒网站的自动内容筛选更新,以及其他智能邮件筛选器 (IMF) 的更新。 • 有针对性的垃圾邮件特征数据和自动更新,用于识别最新的垃圾邮件活动。 这些功能有助于确保企业拥有最新的保护机制,以抵御最新的垃圾邮件攻击。 自动防故障保护 Forefront Security for Exchange Server 采用多引擎管理器,可以确保如果一个引擎因脱机而无法更新甚至失败时,其他引擎可以继续保护邮件环境,而不会延迟邮件传递。 分层保护 Forefront Security for Exch
16、ange Server 在包括 Exchange Server 2007 边缘、中心和邮箱服务器在内的多个邮件基础架构检查点上提供保护,帮助阻止病毒、蠕虫和垃圾邮件影响网络或用户生产力。 抵御新的和隐藏的威胁 Forefront Security for Exchange Server 包括启发技术,它可以根据行为特征检测恶意代码。它还有可配置的文件筛选规则,能够帮助客户消除已知会携带病毒的文件类型(例如 .exe)。 对新威胁的多厂商响应 从最初发现新威胁到传递特征以捕获它之间的关键时间内,企业将处于易受攻击的脆弱状态。依赖单引擎解决方案只会增加这种风险。一个安全供应商可能第一个传
17、递一种威胁的特征,但在遇到下一个威胁时有可能是最后一个传递特征,因此,单引擎解决方案的效能水平不稳定。如果使用 Forefront Security for Exchange Server 的多引擎解决方案,则可由多个供应商立刻对新病毒作出响应,从而增加快速响应的机会,降低企业遭受每种新威胁危害的整体风险,而不管该威胁来自全世界的任何地方。自动下载有助于确保针对攻击的第一个有效解决方案被及时加载到 Forefront Security for Exchange Server 的引擎组中。 经过优化的性能 性能优化和控制 Forefront Security for Exch
18、ange Server 使用内存扫描技术扫描邮件和附件,使性能极大地超过了诸如后台磁盘缓存等传统技术。它的多线程化扫描能力能够使软件同时分析多个邮件,从而增加了邮件吞吐量。利用性能设置,IT 管理员可以针对所需的服务器性能级别,平衡实现需要的安全级别,以满足不断变化的环境需要。 经过改进的电子邮件存储扫描效率 Forefront Security for Exchange Server 使用 Exchange Server 2007 中的防病毒传输戳来确保这种情况的实现:如果邮件在 Exchange Server 2007 边缘或中心服务器上被扫描一次,就不用随后在管道中再次扫描它。该程序
19、的增量后台扫描功能为在存储区中扫描发现最有可能携带最新威胁的邮件(例如,存在时间超过几小时或几天的电子邮件)提供了高效方式,而且不需要重复扫描整个存储区。这些功能使 IT 管理员能够节约有价值的邮件服务器资源。 增加正常运行时间 不同于单引擎解决方案,即使在引擎或特征更新期间,Forefront Security for Exchange Server 仍然能够使用所有可用引擎继续扫描电子邮件。如果更新可用,则每个引擎将单独脱机,同时其他引擎继续扫描电子邮件。Forefront Security for Exchange Server 还将确保如果引擎或特征更新失败,则它将以最后已知的好引
20、擎和特征自动恢复联机。这些功能可以防止在 Exchange 服务器上发生邮件排队和延迟,并有助于确保邮件流不间断。 高效的威胁删除能力 Forefront Security for Exchange Server 使垃圾邮件和蠕虫通信根本无法到达邮箱,从而减少了邮件服务器的工作负荷,并为业务关键信息节省了磁盘空间。Forefront Security for Exchange Server 的 WormPurge 功能可以自动清除与已知的蠕虫特征匹配的邮件,以减少不需要的邮件通信、释放存储空间并改进邮件服务器性能。通过删除这些邮件,可以避免用户产生混淆,并减少无根据的求助电话。 有效的
21、邮件群集支持 Forefront Security for Exchange Server 支持包括 Exchange Server 2007 连续群集复制 (CCR) 在内的群集配置。该帮助可以确保主动和被动节点都有最新的配置信息和特征,这样,即使单个邮件服务器失败,邮件通信仍然可以继续处于安全状态。 Exchange Server 2007 集成 使用 Exchange 传输代理和病毒扫描 API (VSAPI) 有助于提供与 Exchange Server 2007 服务器的紧密兼容性和稳定性。Forefront Security for Exchange Server 利用 Ex
22、change Server 2007 的传输代理和病毒扫描 API 技术,从而确保实现紧密集成。 简化的管理 Forefront Server Security 管理 内置的管理控制台使管理员能够在本地或远程全部配置 Forefront Security for Exchange Server。 集中化的基于 Web 的控制 Forefront Security for Exchange Server 使用 Microsoft Forefront Server Security 服务器管理控制台,后者为拥有多个 Exchange 服务器的企业环境中的所有 Forefron
23、t Server Security 产品提供集中的配置、部署和更新支持。这使 IT 管理员能够方便地远程管理服务器、生成全面报告并跨基础架构接收病毒爆发警报。 一步完成自动更新 通过其快速更新过程,Microsoft 可以监视所有扫描引擎供应商网站上的更新和下载情况,并在新引擎版本和特征可用时对它们进行验证;然后,它联机发布它们,以便让 Forefront Security for Exchange Server 自动下载和安装。不需要 IT 部门的参与,就可以使所有引擎和特征保持最新。对于有多个 Exchange 服务器的环境,Forefront Server Security 管理控制
24、台可以自动将特征和引擎更新分发给环境中所部署的所有 Forefront Security for Exchange Server。 迁移保护 购买 Forefront Security for Exchange Server 以帮助保护 Microsoft Exchange Server 2007 的客户还将获得使用 Microsoft Antigen for Exchange、Microsoft Antigen for SMTP Gateways 和 Antigen 垃圾邮件管理器的许可证,以便帮助保护其 Microsoft Exchange Server 2003 和 Microsof
25、t Exchange 2000 Server 环境。此帮助将确保整个邮件环境在迁移到 Exchange Server 2007 期间得到保护。 本地化 Forefront Security for Exchange Server 现已本地化为 11 种语言,使管理员更容易用区域语言来管理其邮件服务器安全。在用所选的区域语言管理 Exchange Server 安全时,可以获得下列 11 种语言的 Forefront Security for Exchange Server:英语、德语、法语、日语、意大利语、西班牙语、朝鲜语、简体中文、繁体中文、巴西葡萄牙语和俄语。 集成监视 Micro
26、soft Operations Manager 的管理包使 IT 管理员能够将 Forefront Security for Exchange Server 的运行状况作为公司运营管理工作的一部分进行管理。 4.4 Forefront Security for Exchange Server 配置需求 以下为系统最低配置需求 最低配置 处理器 64-位 基于 x64 基础架构的处理器: 操作系统 Microsoft Windows Server 2003/2008 内存 512MB 的可用内存 (建议为 1GB ) 硬盘 300MB 的可用硬盘空间
27、 以上为系统最低配置要求,根据具体的配置情况,请参考: 第5章 AD RMS权限管理服务 5.1 AD RMS概述 通过将 Active Directory 权限管理服务 (AD RMS) 与 Microsoft Exchange Server 2007一起使用,可以通过持久使用策略来保护信息,从而部分实现组织的电子邮件遵从性策略。持久使用策略始终包含该信息。使用 AD RMS 有助于避免有意或无意地误用敏感信息(例如财务报表、产品规范、客户数据和机密邮件)。 AD RMS 在 Windows Server 2003 上作为一个可安装组件运行,或者在 Windows Ser
28、ver 2008 – X64 上作为一个称为 Active Directory 权限管理服务的集成组件运行。 Exchange 2007 SP1 包含一个新代理,该代理使用 AD RMS 强制实现 Exchange Server 和 Microsoft Office Outlook 客户端访问的信息的保密性。AD RMS 预许可代理使 Outlook 用户可以更方便地脱机打开受信息权限管理 (IRM) 保护的电子邮件,并可以通过 Mobile Access 打开电子邮件,而不会频繁地出现凭据提示。用户使用 Outlook Web Access 或 Outlook Anywhere 时,还可以
29、通过 AD RMS 预许可代理访问电子邮件,而不会频繁地出现凭据提示。 AD RMS 预许可代理包含在 Exchange 2007 SP1 中。必须在组织中的所有集线器传输服务器上运行 Exchange 2007 SP1,才能启用 Exchange 2007 中的 AD RMS 功能。 5.2 AD RMS 系统执行过程 • 授权受权限保护的信息。AD RMS 系统颁发权限帐户证书,标识可以发布受权限保护的内容的受信任实体(如用户、组和服务)。在建立信任关系之后,用户可以向他们要保护的内容分配使用权限和条件。这些使用权限指定谁可以访问受权限保护的内容以及他们能够执行的操作。当内容受到
30、保护时,会为此内容创建发布许可证。此许可证将特定的使用权限绑定到给定的内容块,以便可以分发此内容。例如,用户在内容没有失去其权限保护的情况下,可以将受权限保护的文档发送给组织内外的其他用户。 • 获取许可证来解密受权限保护的内容并应用使用策略。被授予权限帐户证书的用户可以通过使用允许用户查看和处理受权限保护的内容并启用 AD RMS 的客户端应用程序来访问受权限保护的内容。当用户尝试访问受权限保护的内容时,会将请求发送到 AD RMS 以访问或“使用”该内容。当用户尝试使用受保护的内容时,AD RMS 群集上的 AD RMS 授权服务会发布一个唯一的使用证书,读取、解释和应用发布许可证中
31、所指定的使用权限和条件。使用权限和条件具有永久性并自动应用于内容被传输到的任何位置。 • 创建受权限保护的文件和模板。在 AD RMS 系统中作为受信任实体的用户可以通过在合并 AD RMS 技术功能并启用 AD RMS 的应用程序中使用熟悉的创作工具来创建和管理增强保护的文件。此外,启用 AD RMS 的应用程序还可以使用集中定义和正式授权的使用权限模板来帮助用户有效应用预定义的使用策略集。 AD RMS 旨在帮助提高内容的安全性,无论受权限保护的内容移至何处都可以得到保护。 5.3 AD RMS新功能 AD RMS 包括对早期版本的 RMS 的一些增强。这些增强包括以下内容:
32、 • 改进了安装和管理体验。AD RMS 包含在 Windows Server 2008 中并作为服务器角色安装。此外,AD RMS 管理还可以通过 MMC 完成,这与早期版本中提供的网站管理不同。 • AD RMS 群集的自注册。AD RMS 群集无需连接到 Microsoft 注册服务即可注册。通过使用服务器自注册证书,注册过程可完全在本地计算机上完成。 • 与 AD FS 集成。AD RMS 已经与 AD FS 集成,因此,企业可以使用现有的联合关系与外部伙伴合作。 • 新的 AD RMS 管理角色。在任何企业环境中都需要将 AD RMS 任务委派给不同管理员的能力,这
33、种能力已包括在本版本的 AD RMS 中。已创建了三个管理员角色:AD RMS 企业管理员、AD RMS 模板管理员和 AD RMS 审核员。 第6章 ISA Server 2006的边界防护(可选) Microsoft Internet Security and Acceleration (ISA) Server 2006 引入了多网络支持、易于使用和高度集成的虚拟专用网配置、得到扩展和可扩充的用户和身份验证模式,以及改进的管理特性,包括配置的导入和导出。为企业邮件提供安全的发布和高效的多种接入环境。 利用企业防护解决方案提供的深入的内容检查,细化的策略,以及全面的报警和监控功能,能
34、够更加轻松地管理和保护您的网络。 l 集成的安全性 通过与 Microsoft 应用系统基础架构和 Windows 服务集成,ISA Server 2006 全面提高了企业网络的安全保护 l 简化的管理 利用简化的部署和管理工具降低总体拥有成本 l 快速和安全的访问 安全、高速和无缝地访问企业应用系统和数据 l 防御来自内部和外部的、基于 Web 的威胁 ISA Server 2006 提供更强的安全保护,以便管理和保护您的网络 6.1 ISA Server 2006为企业带来的价值 在防火墙内 在防火墙外 防火墙 加强网络安全性,为企业的内部应用和
35、用户提供安全的IT环境 邮件、网络访问和使用的控制,即时消息和垃圾、病毒邮件的监控以及提供VPN访问的规范 侦测和阻止入侵和攻击,保护内网安全 缓存 加速网络访问能,节约用户时间 加速员工访问Intranet和Internet的速度 加速企业外部的客户在访问企业网站时的体验 6.2 选择合适的ISA Server 2006 ISA Server有两个版本,标准版和企业版,它们之间的区别可以从下面三个方面来说明,以帮助我们在选择时能快速找到最适合我们企业的解决方案。 扩展性: 功能 标准版 企业版 扩展性 网络 对复杂网络支持有限 适应各种网络情况
36、 纵向扩展 4CPU,2G内存 本身没有限制 横向扩展 单服务器模式 支持高达32节点的网络负载均衡 缓存 单服务器模式 通过缓存阵列路由协议达到无限缓存 也就是说,ISA的版本选择跟企业的网络复杂状况和用户数有关。 可靠性: 功能 标准版 企业版 可靠性 网络负载均衡 不支持 内置32节点网络负载均衡 可扩展性: 功能 标准版 企业版 可管理性 策略 本地策略 AD集成/应用模式带来的企业级策略 分支机构 手工导入/导出策略 由企业级策略支持 监测/预警 单服务器监测控制台 MOM管理包 多服务器监测控制台 MOM管
37、理包 多网络结构 模版 模版 建议: 如果您的企业不大(用户数<100),网络不复杂,可以选择ISA标准版; 如果您的企业中有不少交换机,用户数多,访问控制的策略又比较复杂的话,请选择企业版。 6.3 ISA Server 2006的新增功能 下表列出了 ISA Server 2006 的新增和改进功能。详细信息将会在随后的章节中说明。 多网络 新增或改进 功能 描述 新增功能 多网络配置 可以配置一个或多个网络,每个网络都与其他网络有着独特的关系。访问策略是针对网络定义的,没有必要针对给定的内部网络进行定义。在 ISA Server 2000 中,所有通讯都根
38、据包括内部网络上的唯一地址范围的本地地址表 (LAT) 进行检查,而 ISA Server 2006 扩展了防火墙和安全功能,可以应用于所有网络之间的通讯。 新增功能 独特的每网络策略 ISA Server 的新增多网络功能可以保护您的网络免受内部或外部的安全威胁,方法是限制客户端(甚至组织内部)的通信。多网络功能支持复杂的外围网络(也称为 DMZ,网络隔离区或屏蔽子网)方案,因此可以配置不同网络中的客户端如何访问外围网络。 新增功能 所有通讯的状态检查 您可以在防火墙协议的上下文中通过防火墙来检查数据和连接的状态,无论是源还是目标。 新增功能 NAT 和路由网络关系 您可以
39、使用 ISA Server 来定义网络间的关系,这取决于访问的类型和网络间所允许的通信。在一些情况下,您可能需要让网络间的通信更安全、更不透明。对于这些情况,您可以定义一个网络地址转换 (NAT) 关系。在其他情况下,您希望通过 ISA Server 简化路由通讯。在这些情况下,您可以定义一个路由关系。 新增功能 网络模板 ISA Server 包括网络模板,这些对应于常见的网络拓扑。可以使用网络模板来配置用于网络间通讯的防火墙策略。当您应用某个网络模板时,ISA Server 会根据所指定的策略创建一套必要的规则来允许通讯。 虚拟专用网络 新增或改进 功能 描述 改进功能
40、VPN 管理 ISA Server 包括高度集成的虚拟专用网络 (VPN) 机制。您可以像管理物理连接的网络和客户端那样,通过 ISA 服务器管理来管理 VPN 连接。ISA Server 的所有功能都可以用于 VPN 连接,包括监视、日志记录、会话管理。 新增功能 VPN的状态检查 VPN 客户端配置为独立的网络。因此,您可以为 VPN 客户端单独创建策略。规则引擎有选择地检查来自 VPN 客户端的请求,根据访问策略按状态检查这些请求并动态地打开连接。 新增功能 与第三方 VPN 可互操作的解决方案 由于支持行业标准 Internet 协议安全 (IPSec),ISA Serv
41、er 2006 可以插入到带有其他供应商的现有 VPN 基础结构的环境中,包括使用针对站点对站点连接的 IPSec 隧道模式的配置。 新增功能 隔离控制 ISA Server 可以将 VPN 客户端隔离在“隔离的 VPN 客户端”网络中,直到验证它们符合企业安全要求为止。 安全性和防火墙 新增或改进 功能 描述 新增功能 广泛的协议支持 ISA Server 2006 扩展了 ISA Server 2000 功能,可以允许您控制访问以及使用任何协议,包括 IP 级别的协议。您可以使用诸如 ping 和 tracert 这样的应用程序,并可以创建使用点对点隧道协议 (PPTP
42、) 的 VPN 连接。此外,Internet 协议安全 (IPSec) 通讯可以通过 ISA Server 启用。 改进功能 身份验证 可以使用内置的 Microsoft Windows 或远程身份验证拨入用户服务 (RADIUS) 身份验证类型或其他命名空间对用户进行身份验证。规则可以应用于任何命名空间中的用户或用户组。第三方供应商可以使用软件开发工具包来扩展这些内置的身份验证类型,提供其他身份验证机制。 改进功能 发布 利用 ISA Server,您可以将服务器置于防火墙后端,或者位于企业网络上或者位于外围网络上,这样可以安全地发布它们的服务。 缓存 新增或改进 功能
43、描述 改进功能 缓存规则 利用 ISA Server 的集中缓存规则机制,可以配置存储在缓存中的对象如何进行检索以及如何从缓存中获得服务。 管理 新增或改进 功能 描述 改进功能 管理 ISA Server 包括新增的管理功能,可以使保护网络安全变得非常简单。新用户界面功能包括一个任务窗格、一个“帮助”选项卡、一个改进的入门向导以及防火墙策略编辑器的新外观。 新增功能 导出和导入 ISA Server 引入了导出和导入配置信息的能力。您可以使用这个功能将配置参数保存到 .xml 文件中,然后从该文件中将信息导入到其他服务器中,这样就可以简化多个站点部署的防火墙配置复制
44、 新增功能 仪表板 提供关键监视信息的单一的汇总视图。如果要查看某个问题,可以打开详细监视视图来获得详细信息。 新增功能 日志查看器 ISA Server 日志查看器实时显示防火墙日志。可以在联机实时模式下显示日志,也可以在历史查看模式下显示日志。可以在日志字段应用筛选来确定特定条目。 改进功能 报告 可以根据 Web 使用情况、应用程序使用情况、网络流量模式以及安全性来生成重复出现的报告或者只出现一次的报告。 第7章 软件配置 解决方案涉及的产品(以100用户为例) 邮件用户数量 所需产品 100台 备注 Windows Server 2008
45、Standard 1 Windows Server CAL 100 Windows Server RMS CAL 100 Forefront Server security for Exchange 100 Internet Security & Acceleration Server 2006 STD 1 可选 第8章 部署实施 Forefront Server Security For Exchange部署 (1人/天) Windows Rights management service 部署(2 人*天) ISA服务器安装和部署 (2
46、人*天,可选) 用户培训 (1 人*天) 第9章 附录:Exchange 2007邮件系统 作为一个同时在大型企业和中小型公司都得到广泛应用的企业消息系统,Exchange Server一直以来都致力于为大型企业和中小型公司同时提供可扩展性。但是,法规遵循、安全性和灾难恢复等的对消息系统的新的需求对提供一个能在小规模企业和大型企业内都能达到理想效果的消息系统带来了新的挑战。为了迎接这些新的挑战,Exchange Server 2007对体系结构进行了更新,以充分利用64位硬件平台的优势,通过简化的管理和路由来提高系统效率,同时让一台Exchange服务器可以承担一个或多个服务器角色
47、 9.1.1 Exchange Server 2007体系结构 1) 体系结构概览 作为一个同时在大型企业和中小型公司都得到广泛应用的企业消息系统,Exchange Server一直以来都致力于为大型企业和中小型公司同时提供可扩展性。但是,法规遵循、安全性和灾难恢复等的对消息系统的新的需求对提供一个能在小规模企业和大型企业内都能达到理想效果的消息系统带来了新的挑战。为了迎接这些新的挑战,Exchange Server 2007对体系结构进行了更新,以充分利用64位硬件平台的优势,通过简化的管理和路由来提高系统效率,同时让一台Exchange服务器可以承担一个或多个服务器角色。 2)
48、 服务器角色 Exchange Server提供了一个全面的、可以运行在一台单独服务器上的企业消息系统——这意味着与Microsoft Small Business Server产品一样,所有的Exchange服务都可以在一台服务器上提供。但是,拥有一个可以安装到多台设备上的灵活的、模块化的系统可以在部署、管理和安全上获得重要的好处。这一概念最早在Exchange 2000 Server中引入,Exchange 2000 Server的前端服务器可以设置为将到来的Internet客户端协议请求转到合适的邮箱服务器上。前端服务器是可选的,它可以降低邮箱服务器上的负担并简化Microsoft
49、Office Outlook Web Access (OWA) 和Exchange ActiveSync (EAS)用户的访问。在中型或大型组织设置前端服务器可以使特定的Exchange任务能够集中在有限的几台服务器上,从而使Exchange更为灵活。 在Exchange Server 2007中,基于角色的部署功能进行了扩展,用户可以将预定义的角色指定给特定的服务器。这些预定义的角色使组织可以控制邮件流程,提高安全性以及在不同的服务器直接分配服务,如下图所示。 图1: Exchange Server 2007服务器角色 3) 存储组和信息存储 Exchange Server 2007企业版单台服务器支持最多达50个存储组和50个数据库。用户可以设置每个存储组5个数据库,最多可以设置50个数据库。相比与更早版本的Exchange Server,现在的邮箱数据可以分布到更多数据库中,邮箱数据库可以分布到更多存储组中。Exchange Server标准版每台服务器最多可以支持5个存储组和5个数据库。与早期版本的Exchange Server不同,Exchange Server 2007企业版和标准版的数据库大小都只受存储容量大小的限制。






