Применимо к: Exchange Server 2010 SP1
Последнее изменение раздела: 2009-10-10
Правильная настройка параметров безопасности для серверов единой системы обмена сообщениями Microsoft Exchange Server 2010 является важным аспектом обеспечения общей безопасности сети организации. Повысить уровень безопасности всей сети можно, включив для серверов единой системы обмена сообщениями, шлюзов IP и других серверов с сервером Exchange 2010 протокол TLS или IPSec. Ниже приведены сведения, помогающие надежнее защитить сеть, и ссылки на соответствующие разделы.
Защита сетевого трафика
Единая система обмена сообщениями может взаимодействовать с шлюзами IP, внутренними УАТС с поддержкой протокола IP и другими компьютерами с Exchange 2010 в безопасном и небезопасном режимах. Способ взаимодействия зависит от конфигурации абонентской группы единой системы обмена сообщениями и наличия соответствующих доверительных отношений, установленных с помощью сертификатов между шлюзами IP и серверами единой системы обмена сообщениями в сети организации. В небезопасном режиме трафик протоколов VoIP и SIP не шифруется. Однако абонентские группы единой системы обмена сообщениями и связанные с ними серверы единой системы обмена сообщениями можно настраивать с помощью параметра VoIPSecurity. Параметр VoIPSecurity настраивает абонентские группы на шифрование трафика VoIP и SIP с помощью протокола MTLS (Mutual Transport Layer Security) с использованием безопасного режима и безопасного режима SIP.
Существует несколько способов обеспечения безопасности, с помощью которых можно защитить серверы единой системы обмена сообщениями и сетевой трафик, пересылаемый между шлюзами IP и серверами единой системы обмена сообщениями, а также между серверами единой системы обмена сообщениями и остальными серверами Exchange 2010 в организации. Чтобы разобраться с компонентами, которые необходимо использовать в среде единой системы обмена сообщениями для защиты сетевых данных, отправляемых и принимаемых серверами единой системы обмена сообщениями в организации, необходимо сначала изучить способы решения следующих задач:
- защита данных единой системы обмена сообщениями, пересылаемых
по сети, с использованием протокола IPSec;
- защита данных единой системы обмена сообщениями, пересылаемых
по сети, с использованием протокола TLS;
- использование различных типов сертификатов с единой системой
обмена сообщениями для реализации защиты с помощью протокола
TLS;
- правильная настройка серверов единой системы обмена сообщениями
и шлюзов IP на использование протокола TLS.
Компоненты механизма обеспечения безопасности единой системы обмена сообщениями
Для защиты взаимодействия сервера единой системы обмена сообщениями с другими серверами Exchange 2010 и шлюзами IP необходимо настроить ряд компонентов. Указанные ниже компоненты помогают защитить передаваемые по сети данные.
- Протокол IPSec. Протокол IPSec включает
в себя криптографические службы защиты, протоколы безопасности и
динамическое управление ключами. Он обеспечивает надежную и гибкую
защиту взаимодействия между компьютерами в частной сети, доменами,
узлами, удаленными узлами, внешними сетями и клиентами удаленного
доступа. Он может использоваться даже для блокировки приема или
передачи конкретных типов трафика. Дополнительные сведения о
доступных параметрах безопасности трафика единой системы обмена
сообщениями см. в разделе Общие сведения о
безопасности VoIP единой системы обмена сообщениями.
- Протокол TLS. После успешного экспорта
и импорта необходимых доверенных сертификатов шлюз IP запрашивает
сертификат у сервера единой системы обмена сообщениями, а последний
затем запрашивает сертификат у шлюза IP. Обмен доверенными
сертификатами между шлюзом IP и сервером единой системы обмена
сообщениями помогает защищать канал, по которому они
взаимодействуют, с использованием протокола TLS. Дополнительные
сведения о доступных параметрах безопасности трафика единой системы
обмена сообщениями см. в разделе Общие сведения о
безопасности VoIP единой системы обмена сообщениями.
- Сертификаты. Цифровые сертификаты — это
файлы, которые по своей функции схожи с паспортами — они
подтверждают подлинность пользователя или компьютера в Интернете
(или сети). Кроме того, они используются для создания каналов
передачи данных с шифрованием. Сертификат, это, в принципе,
цифровой документ, который выпускается центром сертификации,
подтверждающий личность владельца сертификата и позволяющий
сторонам взаимодействовать безопасным образом, используя
шифрование. Сертификаты могут выдаваться доверенными сторонними
центрами сертификации, например с помощью служб сертификации, или
могут быть самозаверяющими. Дополнительные сведения о параметрах
обеспечения безопасности трафика единой системы обмена сообщениями
см. в разделе Общие сведения о
безопасности VoIP единой системы обмена сообщениями.
- Безопасность VoIP. Единая система
обмена сообщениями может взаимодействовать с шлюзами IP,
внутренними УАТС с поддержкой протокола IP и другими компьютерами с
Exchange 2010 в безопасном или небезопасном режиме в зависимости от
конфигурации абонентских групп единой системы обмена сообщениями.
По умолчанию абонентские группы единой системы обмена сообщениями
взаимодействуют в небезопасном режиме. Чтобы определить параметры
безопасности, заданные для конкретной абонентской группы единой
системы обмена сообщениями, можно использовать командлет
Get-UMDialPlan в командной консоли Exchange.
Дополнительные сведения о включении защиты VoIP для абонентской
группы единой системы обмена сообщениями см. в разделе Настройка безопасности
VoIP в абонентской группе единой системы обмена
сообщениями.