Quản Lý Client Access trên Exchange Server 2007 - Phần III:

Khi triển khai và quản lý hệ thống Exchange, để bảo mật các kết nối từ Mail client đến Exchange server chúng ta có các quy tắc sau...
Nội dung trích xuất từ tài liệu:
Quản Lý Client Access trên Exchange Server 2007 - Phần III:Quản Lý Client Access trên Exchange Server 2007 - Phần III: Outlook A... http://msopenlab.com/index.php?option=com_content&view=article&id=... 1. Skip to Menu 2. Skip to Content 3. Skip to Footer> User Area Register Free Contact Us Loading... Home IT-Training Courses Windows Server Messaging System Sharepoint Server Network Security Virtualization Technologies Other Technology Quản Lý Client Access trên Exchange Server 2007 - Phần III: Outlook Anywhere (RPC Over HTTP) Viết bởi Trần Thủy Hoàng Thứ bảy, 01 Tháng 11 2008 00:00 Khi triển khai và quản lý hệ thống Exchange, để bảo mật các kết nối từ Mail client đến Exchange server chúng ta có các quy tắc sau: - Cho phép các client trong nội bộ kết nối tới Exchange Server bằng MAPI (RPC) - Không cho phép các client trên Internet (Internet Client) kết nối tới Exchange server bằng MAPI (RPC), mà chỉ nên cho kết nối bằng các protocol POP3/S, IMAP4/S,HTTP/S, RPC over HTTP Khi triển khai và quản lý hệ thống Exchange, để bảo mật các kết nối từ Mail client đến Exchange server chúng ta có các quy tắc sau:1 of 12 6/17/2011 1:45 PMQuản Lý Client Access trên Exchange Server 2007 - Phần III: Outlook A... http://msopenlab.com/index.php?option=com_content&view=article&id=... - Cho phép các client trong nội bộ kết nối tới Exchange Server bằng MAPI (RPC) - Không cho phép các client trên Internet (Internet Client) kết nối tới Exchange server bằng MAPI (RPC), mà chỉ nên cho kết nối bằng các protocol POP3/S, IMAP4/S,HTTP/S, RPC over HTTP Tại sao không nên cho phép Internet client kết nối bằng MAPI (RPC)? Trong bài viết “ How RPC Works” chúng tôi đã có giới thiệu về cơ chế hoạt động của RPC, với cơ chế như vậy nếu chúng ta muốn cho phép Internet client kết nối tới Exchange server bằng MAPI (RPC) thì trên Firewall của hệ thống phải publish các port cần thiết trong đó có RPC Endpoint Mapper (port 135), cũng có nghĩa là cho tất cả mọi người bên ngoài biết hệ thống của chúng ta đang mở những port nào, theo đó khả năng bị tấn công sẽ rất cao. Vì vậy, để đảm bảo an toàn cho hệ thống chúng ta không nên cho phép Internet client kết nối đến Exchange server bằng MAPI (RPC) Sự bất tiện của MAPI (RPC) khi kết nối từ Internet Client: Trong bài viết “ How RPC Works” chúng ta đã thấy rõ cơ chế RPC sử dụng các port: Service Name UDP TCP HTTP 80, 443, 593 80, 443, 593 Named Pipes 445 445 RPC Endpoint Mapper 135 135 RPC Server Programs Với đặc điềm trên, nếu các Firewall,thiết bị NAT, hoặc Proxy server tại các điểm internet công cộng (trung tâm hội thảo, internet cafe…) chỉ cho phép các máy tính kết nối Web (HTTP và HTTPS), thì Internet Client sẽ không thể kết nối đến Exchange Server bằng MAPI (RPC). Các hạn chế của POP3 và IMAP4: Khi client kết nối đến Exchange server bằng POP3 hoặc IMAP4 thì có các hạn chế như không truy cập được Exchange Address Lists, Public Folder, không sử dụng được Meeting request… Vì vậy, trên thực tế người sử dụng vẫn có nhu cấu kết nối đến Exchange Server từ Internet bằng Microsoft Outlook (MAPI) để sử dụng được tất cả tính năng mà Exchange cung cấp. Như vậy, vấn đề được đặt ra ở đây là làm sao cho phép user từ Internet kết nối tới Exchange Server bằng MAPI (RPC) mà vẫn đảm bảo được sự thuận tiện và an toàn cho hệ thống. Giải pháp thứ nhất là sử dụng Virtual Private Network (VPN), nhưng VPN cũng có một số bất tiện đối với người dùng, vì vậy giải pháp tốt nhất hiện nay là cho Internet Client kết nối đến Exchange server bằng cơ chế RPC over HTTPS. RPC over HTTP cho phép MS Outlook kết nối đến Exchange server bằng protocol MAPI bằng cách đóng gói gói tin RPC vào bên trong gói tin HTTP Gói tin RPC over HTTP sẽ được chuyển đến Exchange server thông qua RPC over HTTP proxy (còn được gọi là RPC proxy server), và chúng ta có thể sử dụng Secure Socket L ...