本章概述
由于在企业中信息沟通中通过电子邮件进行交流已经是非常重要的一环,那么如何确保中间信息传输的安全性以及保证企业的邮件系统不被黑客或者恶意用户进行攻击这些都是邮件系统规划所需要考虑的内容,本章就常见的黑客攻击、常见的信息安全加密方法、邮件系统的安全部署等多方面给大家相关建议,为学生顺利学习后续课程打下基础。
教学目标
●了解常见邮件系统攻击类型。
●掌握常见相关SMTP协议的相关内容。
●了解邮件服务器常见部署原则和方式。
●了解如何进行邮件服务器加密部署和相关安全知识
教学重点
●邮件系统的安全策略设计,这里主要强调Exchange Server 2003 这个产品在企业中整合性非常强,需要考虑用户可能会从企业外部访问、也会从企业内部进行访问,这样就导致一个问题,如何确保这些用户能够安全正常的访问,如何保证用户邮件的内容在传输过程中进行加密,同时针对服务器而言,如何防范黑客攻击、如何避免被列入邮件黑名单这些都是企业网络管理员在部署邮件系统和管理邮件系统面临的非常重要的问题。
●邮件系统安全策略部署方案和相关安全知识点,这里主要介绍由于企业预算不同、软件硬件环境也存在不同,如何根据特定的需求以及 Exchange Server 2003 部署特点、客户端安全访问特点合理进行设计部署。
●邮件系统的加密策略和相关知识点,这里主要强调如何利用证书在客户端进行运用,如何快速在服务器端进行部署相关加密策略。
教学难点
●针对邮件系统的相关安全知识,如果学生对此接触比较少则难以理解,例如证书,如果学生有相关网上银行使用经验,那么对于相关加密策略就比较好理解,否则教师必须介绍清楚证书、公钥、私钥、证书服务器之间的关系。
●如何利用现有的安全知识进行邮件系统的安全部署,由于在校学生通常只拥有POP3、SMTP 使用经验,所以对于为什么需要进行加密部署管理、为什么要利用前后端技术这些知识比较难以理解,如果教学时间充分,教师可以给出企业场景实例配合客户端需求进行介绍。
●邮件系统的安全部署需要掌握的相关内容,教师可以配合案例相关安全知识点进行描述,从服务器端安全需求、客户端安全需求、企业整体安全需求分别进行介绍。
教学资源
| 课本 | 知识点 | 19.1 设计安全策略 19.2 规划 EXCHANGE SERVER 2003 周边安全 19.3 规划 EXCHANGE SERVER 2003 INTERNET 安全 19.4 规划加密策略 |
| 实验 | 实验19-1:规划 Northwind Traders 的周边安全 实验19-2:规划 Northwind Traders 的 Internet 安全 实验19-3: 设计一个加密策略 | |
| 习题 | 习题1-使用加密和身份验证保护 Internet 电子邮件(19.4.3) 习题2-设计加密策略(19.4.1) 习题4-使用桥头服务器和路由组以提高安全性(19.2.4) | |
| 教学参考手册包 | 新版幻灯片 | 光盘:\\Powerpnt\\Exchange19.ppt |
| 多媒体视频 | 光盘:Powerpnt/2008_04_v05.wmv 光盘:Powerpnt/2008_04_v10.wmv | |
| 实验报告 | 光盘:\Prep\ask\ask_chapter19.doc | |
| 习题解答 | 光盘:\tPrep\\answer\\answer_chapter19.doc |
在正式开始学习本章内容以前,学生须具备下列知识基础。
| 知识基础 | 推荐补充 |
| 电子邮件使用经验 |
2课时课堂教学+1课时实验教学
19.1设计安全策略
教学提示 :
本节主要达到三个目的。
●掌握如何根据企业需求确定安全风险的方法(略讲)
●掌握如何根据企业的需求和特点进行基本的安全性最佳实践(略讲)
●掌握在实际部署中 IIS 如何与 Exchange Server 2003 集成(略讲+演示)
| 教学内容 | 教学方法 | 教学提示 |
| 讲授: 关于黑客这个名词大家并不陌生。大多基于操作系统的攻击或者对网站进行攻击,我们这本书是介绍电子邮件,邮件现在不再仅仅是公司和组织内部的工具。现在,它让不同公司、国家/地区的人能够相互联系,甚至让地球上的人能够像在同一栋大楼里一样迅速地相互共享信息。无疑,迄今为止电子邮件已成为 Internet 给人们带来的最重要的好处。在我们的日常生活中,随着电子邮件越来越多地成为不可或缺的一部分,它的重要性也与日俱增。电子邮件曾经只是给我们带来方便,而现在它已成为一种必需品,那么如何加强它的安全性就是本章主要介绍的内容,为了帮助学生了解相关内容,教师可以提出相关一些问题来掌握学生是否了解前面章节介绍的相关内容。 ●什么是 S/MIME? ●S/MIME 提供哪些安全服务? ●基于 Exchange 2003 的 S/MIME 系统有哪些组件? 下面我们进入本章内容的学习: 我们将讨论四个问题: ●如何设计邮件系统的安全策略? ●如何规划基于 Exchange Server 2003 进行企业周边安全部署。 ●如何规划基于 Exchange Server 2003 进行企业内部安全部署。 ●如何规划基于 Exchange Server 2003 进行企业的安全加密策略部署。 俗话说没有规矩不成方圆,进行企业邮件系统安全规划也是一样,首先需要了解针对企业而言常见可能遇到的安全问题都有哪些,针对邮件系统进行安全规划应该注意哪些内容,邮件系统本身的安全需要注意哪些内容,下面我们就一一进行介绍: 由于本章中牵扯到内容比较多,在相关学习、考试、案例学习中教师可以提醒本章内容适合学生以后在企业中充当如下角色时候的阅读参考材料: Exchange 管理员 在企业中负责 Exchange Server 2003 的安装、维护和管理的那些人。 电子邮件客户端管理员 企业中负责电子邮件客户端软件的安装、维护和管理的那些人。 公钥基础结构 (PKI) 管理员 企业中负责 PKI 的规划、部署、维护和管理的那些人。 | 参考知识: PKCS #7 这是在目录中存储 S/MIME 数字证书时使用的加密机制。在 Microsoft Active Directory® 目录服务中,使用 PKCS #7 将数字证书存储在 userSMIMECertificate 属性中。 “可分辨编码规则 (DER)”编码 (Distinguished Encoding Rules (DER) Encoded) 这是在目录中存储 X.509 v3 数字证书时使用的加密机制。Active Directory 使用 DER 编码来将数字证书存储在 userCertificate 属性中。 纯文本 (Plaintext) 使用纯文本(或明文)来区分未加密的信息和已加密的信息。请不要将该纯文本与谈及电子邮件格式时所提到的纯文本混为一谈。在后一种上下文中,纯文本用于区别邮件的 HTML 格式或 RTF 格式。在讨论邮件安全性时,纯文本用于区别于加密文本,以表示文本未加密。 以上内容也可以参考《Exchange Server 2003 邮件安全指南》 | |
| 讲授: 首先了解常见安全风险都有哪些。 讲解课本:19.1.1 | 阅书:19.1.1 幻灯:第5页 | 如果学生如果学过相关安全课程,这里可以简单提及即可,不需要花费太多时间一一解释每一种安全攻击手段。 |
| 讲授: 针对以上的安全攻击方法,微软同样有相关一些最佳安全实践,我们可以参考其中介绍的方法进行系统、服务器的安全加固,注意其中一些内容我们在前面章节都已经介绍过,例如OWA的身份验证这里回顾相关内容即可。 讲解课本:19.1.2 | 阅书:19.1.2 幻灯:第6页 | 参考资源: Microsoft Baseline Security Analyzer (http://go.microsoft.com/fwlink/?LinkId=17809)(英文) |
| 课堂提问: 在安装 Exchange Server 2003 必须要在该服务器上安全哪些组件? 提示: 安装 IIS 相关组件,从这个问题大家就可以了解到 IIS 和 邮件服务器之间的关系,那么如果IIS这个基石被攻击,自然 Exchange Server 2003 也不能幸免于难,所以必须考虑加强IIS 的安全特性,如果时间充足,教师可以前面章节相关内容介绍 Exchange Server 2003 架构提醒中 IIS 地位。 讲解课本:19.1.3 | 阅书:19.1.3 幻灯:第7页 | 课堂提示: IIS 锁定向导关于这部分内容教师可以提及如果是 Windows 2000 需要安装IISLOCKDOWN 这个免费安全软件,但是针对 Windows 2003 而言这个组件已经内置于 IIS组件中。 如果安装了 Windows 2003 SP1 可以考虑配置安全配置向导。 教师在这部分学习一定要强调安装 Exchange Server 之后一定要及时备份 IIS 相关设置,同时不建议随意卸载 IIS 和修改相关IIS 设置。 |
| 小结: 本章介绍了基于 Exchange Server 2003 邮件系统进行安全系统部署时候需要考虑的安全因素、安全部署基本原则、相关服务器的安全配置。 | 参考资源: ∙Exchange Server 2003 技术文档库 (http://www.microsoft.com/exchange/library) Exchange Server 2003 工具与更新 (http://www.microsoft.com/exchange/2003/updates)(英文) |
教学提示 :
本节主要达到五个目的。
●能够掌握理解设计 Exchange Server 2003 周边安全的要求 (精讲)
●能够配置掌握预防计算机病毒的方法(略讲)
●能够针对企业需要配置掌握保护邮箱和邮箱内容的方法(精讲)
●能够根据企业需要掌握使用桥头服务器和路由组来提高安全性的方法(精讲+演示)
●能够根据企业需要掌握减少Exchange Server 2003端口暴露的方法(略讲)
| 教学内容 | 教学方法 | 教学提示 |
| 讲授: 在本章学习中对于病毒可能学生了解比较多,这里推荐教师可以使用趋势软件公司提供的防病毒软件进行引用,趋势公司针对文件服务器、邮件服务器、邮件网关都有专业的产品,而且所有产品都有一个月的试用期,因此非常方便进行测试和学习,建议相关内容可以参考本书第四章内容。 讲解课本:19.2.1 | 阅书:19.2.1 幻灯:第10页 | 参考资源: 趋势公司网站: www.trendmicro.com.cn |
| 讲授: 课堂提问: 是否所有 Exchange Server 2003 都支持前后台架构方式部署? 提示: 否。 通过这个问题帮助学生理解在大中型企业当中,会整合多种服务器进行引用,而由于Exchange Server 2003 主要应用于企业内部邮件引用,所以就更需要加强其安全部署,首先一点就需要掌握防火墙部署方面的一些知识,分成不同部分和不同因素进行防护,这里给出了具体部署建议。 讲解课本:19.2.1 | 注意: 提示学生在安装 Exchange Server 补丁包的时候,一定要先部署安装后端服务器的安全补丁,在部署安装前台服务器补丁,否则会导致 OWA 访问异常。 | |
| 讲授: 微软在其安全网站上每个月都会有最新的安全的公告,其中我们可以看到相关由于系统安全漏洞造成的相关危害,其中也有相关对于邮件病毒上的相关描述,所以最简单直接的方法就是部署针对企业级别的邮件防病毒软件和防病毒网关。 注意在Exchange Server 2003 Service Pack 1 (SP1) 中的一个重要新功能是能够扫描已签名的 S/MIME 邮件中是否有病毒。扫描签名邮件现在是 Exchange 邮箱服务器上使用 Virus Scanning API (VSAPI) 2.5 的病毒扫描程序的核心功能。 | 阅书:19.2.2 幻灯:第11页 | 课堂提示: 由于在实际教学中经常会发现学生会混淆邮件防病毒软件和文件服务器防病毒软件,以为装了后者就可以防范电子邮件病毒,但是在实际安装部署中通常都要设置需要不扫描邮件服务器数据库所在的目录以防止文件被误操作破坏。 参考资源: MiraPoint- 硬件SMTP网关 Trend Scanmail - Exchange数据库和邮件专用防病毒软件 Trend Gateway - SMTP网关级的防病毒和垃圾邮件软件 |
| 讲授: 保护了邮件服务器不受侵害,其实最主要是保证邮件内容和邮箱。 难点: 为什么需要设置 SMTP 策略以控制外出时的邮件不被传递到 Exchange Server 组织之外。 原因: 由于现在有很多垃圾邮件扫描软件,它发送的邮件是测试性的邮件,如果对方收到你邮箱的自动回复,自然就能确定你的邮箱是真实邮件地址,以后会源源不断的发送垃圾电子邮件,所以通常我们只会在企业内部设置自动邮件回复。 讲解课本:19.2.3 | 阅书:19.2.3 幻灯:第12页 | 参考: 相关垃圾邮件筛选程序可以参考微软提供的免费工具(Exchange Intelligent Message Filter):http://www.microsoft.com/exchange/imf/ |
| 讲授: 我们在前面一、二章已经介绍了相关前后台、群集的Exchange 部署方式,那么也就意味着在企业中可能会存在多台Exchange 服务器,那么如何配置发送安全,就是本节介绍的桥头服务器的部署方式。 课堂提问: 什么是桥头服务器? 提示:能够通过路由组连接器发送邮件的服务器是"桥头服务器"。 注意: 如果在卸载 Exchange 服务器的时候,如果某服务器是连接器的桥头服务器并且组织中有其他 Exchange 服务器,则不能从这台服务器上卸载 Exchange 2003,而必须先指定一个新的桥头服务器 讲解课本:19.2.4 | 阅书:19.2.4 幻灯:第13页 课堂演示: 配置桥头服务器 | 参考: http://support.microsoft.com/kb/260973/zh-cn(在 Exchange 2000 Server 和 Exchange Server 2003 中为入站和中继邮件设置 SMTP 域) |
| 讲授: 在提及服务器的安全,大家通常都会考虑到防火墙,对于防火墙大家在 Windows XP Professional或者 Windows 2003 Server 中都有内置的防火墙,那在这些防火墙中最常见的方式就是通过端口来进行配置,如果对外只需要开放POP3方式或者 SMTP 就非常方便,但是如果需要开放MAPI 方式进行访问就需要进行相关端口配置,这里可以提醒学生使用 ISA Server 2004 可以进行快速安全的配置。 讲解课本:19.2.5 | 阅书:19.2.5 幻灯:第14页 | 参考: XFOR:Telnet 到端口 25 以测试 SMTP 通信http://support.microsoft.com/kb/153119/zh-cn Exchange 2000 和 Exchange 2003 静态端口映射(http://support.microsoft.com/kb/153119/zh-cn) XGEN: TCP Ports and Microsoft Exchange: In-depth Discussion http://support.microsoft.com/support/kb/articles/q176/4/66.asp XADM: Set TCP/IP for Exchange/Outlook Client Through Firewall http://support.microsoft.com/default.aspx?scid=kb;ZH-CN;q155831 XGEN: TCP/UDP Ports Used By Exchange 2000 Server http://support.microsoft.com/default.aspx?scid=kb;ZH-CN;q278339 OL2002: Outlook Connectivity Over Firewall/Proxy Using NAT, http://support.microsoft.com/support/kb/articles/q291/6/15.asp |
| 小结: 本节介绍了邮件系统外围安全到、对邮件服务器病毒考虑、对邮件服务器的端口安全防护考虑都给出比较多和详细的内容,希望学生能够参考参考链接和前面章节所学内容进行对照学习。 | 参考链接: ∙Exchange Server 2003 新增功能 (http://go.microsoft.com/fwlink/?LinkId=21765) ∙规划 Exchange Server 2003 邮件系统 (http://go.microsoft.com/fwlink/?LinkId=21766) ∙Exchange Server 2003 部署指南 (http://go.microsoft.com/fwlink/?LinkId=21768) ∙Exchange Server 2003 管理指南 (http://go.microsoft.com/fwlink/?LinkId=21769) |
教学提示 :
本节主要达到两个目的。
●能够根据企业需求掌握设计 Exchange Server 2003 Internet 安全的要求(略讲)
●能够了解如何根据企业内部需要掌握使用信息权限管理保护知识产权的方法。(略讲)
| 教学内容 | 教学方法 | 教学提示 |
| 讲授: 针对企业安全而言其实更加需要重视的就是内部安全,举个例子,如果一个大型企业中每个员工都能够给企业的每一个信箱发送邮件,那么势必由于一些误操作,造成一些用户收到不应该收到的邮件或者造成公司有限的带宽被浪费掉,那么应该如何加强企业内部的邮件系统的安全,就是本节介绍的内容。 | ||
| 讲授: 针对上面介绍的内容可以通过配置DL的权限来进行相关配置,出于安全备份而言还可以进行存档配置,但是需要提醒一点的就是要注意这需要额外空间的需求。 由于我们假设的企业场景中不仅仅只有一台服务器,因此可以通过管理组进行相关配置。 针对公用文件夹由于在下一个版本的 Exchange 中可能停止开发,因此这里教师不需要花费太多时间介绍,只需要提醒在企业中我们通常配置每个员工只能在指定的文件夹中才有写的权限。 | 阅书:19.3.1 幻灯:第21页 | 参考资源: 无法在 Exchange 2000 Server 或 Exchange Server 2003 中新建公用文件夹http://support.microsoft.com/kb/313866/zh-cn |
| 讲授: 关于知识产权,可能学生更多考虑的都是知识使用时候必须针对不同的用户给以相关的,在企业中也是一样,如何保证企业研发人员的信息不被外界获取,如何设置相关时效性,如何不允许邮件被复制这里就可以考虑在 Outlook 2003 中新提供的 RMS 技术,相关内容教师可以提醒学生参考书本中的链接,或者在Outlook 2003 中也可以使用 MSN 账号进行相关演示,这样教师可以不需要配置 RMS服务器。 | 阅书:19.3.2 幻灯:第22页 | |
| 小结: 本节从如何加强企业内部安全策略着手介绍相关技术和工具,学生可以配合书本试验进行相关测试和验证。 |
教学提示 :
本节主要达到四个目的。
●能够根据企业需求掌握设计加密策略的要求(略讲)
●能够掌握如何设计企业内部 PKI 策略的方法(精讲)
●能够掌握使用加密和身份验证保护 Internet 电子邮件的方法(精讲)
●能够掌握为 Outlook 2003 和 Outlook Web Access 实现 S/MIME 的方法(精讲)
| 教学内容 | 教学方法 | 教学提示 |
| 讲授 本节介绍相关信息以帮助公钥基础结构 (PKI) 管理员在使用 Microsoft® Exchange Server 2003 的基于安全/多用途 Internet 邮件扩展 (S/MIME) 的邮件安全系统中将 PKI 与电子邮件客户端集成在一起。 为什么需要使用PKI 进行企业进行部署,提醒学生注意现在所有网上银行都提供相关SSL证书方式就知道PKI 的重要性了。 | ||
| 讲授: 介绍如何基于PKI、Exchange 服务器和电子邮件客户端进行加密策略设计,注意本节介绍的内容不仅仅针对邮件内容安全而言,而且针对邮件传输的安全都需要进行考虑,为了方便企业用户使用相关技术,需要考虑部署的安全性、便利性。 由于 Microsoft Exchange Server 2003 对安全/多用途 Internet 邮件扩展 (S/MIME) 的支持不断增加,所以相关加密策略应该充分考虑这些信息。 | 阅书:19.4.1 幻灯:第28页 | ●参考资源: ●Troubleshooting Certificate Status and Revocation (http://go.microsoft.com/fwlink/?LinkId=21760)(英文) ●MSA Enterprise Design for Certificate Services (http://go.microsoft.com/fwlink/?LinkId=21761)(英文) ●PKI Enhancements in Windows XP Professional and Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkId=21762)(英文) ● |
| 讲授: 介绍基于 Exchange Server 2003 相关PKI 策略可以从以下几个方面进行: ●在 PKI 中支持 Microsoft Office Outlook® 2003。 ●在 PKI 中支持带有 S/MIME 控件的 Outlook Web Access Microsoft Windows Server® 2003 证书颁发机构 (CA) ●第三方 CA。 其中教师需要介绍清楚S/MIME相关知识和内容。 | 阅书:19.4.2 幻灯:第29页 | 参考资源: ●Public Key Infrastructure for Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkId=21763)(英文) Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure (http://go.microsoft.com/fwlink/?LinkId=17800)(英文) |
| 讲授: 如何利用操作系统提供的内置功能来实现邮件的安全传输,教师针对安全传输可以介绍相关网络监听的部分概念,配合第一节的安全问题进行讲解。 身份验证部分教师可以配合相关IIS 服务器的相关安全验证概念对比介绍。 | 阅书:19.4.3 幻灯:第30页 | 注意: ●将两个运行 Windows 2000 的服务器配置为要求进行可信的网络访问。 ●保护传输中的数据不被修改(在每个数据包上使用加密校验和)。 ●在 IP 层对两个服务器之间的任何通信进行加密。 在前端和后端拓扑中,可以使用 IPSec 对不会以其他方式加密的前后端服务器之间的通信进行加密。 参考资源: “How to Enable IPSec Traffic Through a Firewall”(http://go.microsoft.com/fwlink/?linkid=3052&kbid=233256) |
| 讲授: 本节介绍相关如果从客户端考虑如何进行相关安全加密和部署(Outlook 2003 和 IE浏览器访问中提供安全方式分别进行介绍)。 与 Outlook Web Access 一样,带有 S/MIME 控件的 Outlook Web Access 依赖 Web 浏览器与 Exchange 服务器的交互来提供电子邮件客户端功能。带有 S/MIME 控件的 Outlook Web Access 的功能不同于不带 S/MIME 控件的 Outlook Web Access,因为 S/MIME 控件提供了功能完整的 S/MIME 电子邮件客户端。S/MIME 控件被设计成与 Microsoft Internet Explorer 6.0 或更高版本无缝集成。要使 S/MIME 控件能够充分利用安全增强功能,需要有 Internet Explorer 6.0。S/MIME 控件是组件对象模型 (COM) 对象,该对象也使用动态 HTML (DHTML) 来支持基本的邮件安全服务:数字签名和邮件加密。 用户的客户端系统与用户的 Exchange 服务器具体处理数字证书的哪些方面取决于所需要的数字证书操作。用户客户端系统上带有 S/MIME 控件的 Outlook Web Access 可以处理包含用户私钥的数字证书,但永远不会向 Exchange 服务器发送私钥。用户的 Exchange 服务器处理包含其他用户的公钥的数字证书。用户的 Exchange 服务器验证包含公钥和私钥的所有数字证书的方法是:验证其到期日期、验证信任关系,并检查其吊销状态。由于需要此过程来处理数字证书的公钥和验证所有证书,因此设计(其中消耗带宽的进程由 Exchange 服务器执行)使得客户端可以更快更可靠地进行基于 Internet 的访问。 | 阅书:19.4.4 幻灯:第31页 | 注意: 在 Exchange Server 2003 SP1 中,S/MIME 控件安装程序是包含在自解压缩可执行文件中的 Microsoft 安装程序 (MSI) 文件;该解决方案使得客户可以使用企业软件管理系统将 S/MIME 控件部署到桌面。 |
| 小结: 本节介绍了相关针对S/MIME 版本 3 的支持安全功能功能以及相关安全传输和身份验证的内容。 |
经过本章的学习,我们了解了下列的知识和内容。
●了解如何在企业中确定安全风险的方法和安全性的最佳实践。
●了解什么是企业中针对 Exchange Server 2003 周边安全的方法。
●了解如何掌握规划 Exchange Server 2003 intranet 安全的方法。
●了解如何掌握规划加密策略的方法。
在第二十章中,我们将正式开始学习实现高可用性和高可靠性的设计。
布置作业
完成书后习题1-3
实验课备注
本章的主要内容主要是针对 Exchange 的相关安全部署和规划考虑的内容,如果学生对于其中的概念不是很熟悉,可以考虑加入相关试验内容。
案例教学
本章内容贯穿于案例教学的前期分析中,详见案例教师参考手册步骤4、步骤5和2.6中。下载本文
