对于面向Internet,全角色的Exchange服务器,我需要通过防火墙才能
由于最近的渗透测试,我们没有很好的表现,我注意到我们的面向互联网,所有角色的一体化,Exchange 2010 SP3服务器没有防火墙,因此完全暴露在互联网上.我自己验证了结果,确实非常糟糕. SMB,LDAP,远程注册表,RDP以及您在
Windows Active Directory环境中找到的所有其他默认服务都通过Exchange服务器向Internet公开.
当然,我想解决这个问题,并计划使用Windows防火墙,但在谷歌搜索中,我从官方来源找到的所有内容都是port references which seem to apply to internal Exchange traffic和Technet blog posting saying not to use those references to configure your firewalls,因为这是唯一支持的配置. Exchange服务器相当于ANY:ANY允许规则. :/ 鉴于我们使用Active Sync,OWA,IMAP,日历/地址簿共享,自动发现和Outlook客户端访问,是否有人知道面向Internet的全角色一体机Exchange服务器需要哪些防火墙规则? (对于拥有官方MS源的任何人来说,奖励积分都是小额奖励.) 作为一个偶然的Exchange管理员和意外的IT安全人员,我已经拿出了下面的列表(这对我来说似乎太长太短),但在我去之前和可能会破坏一千个用户的电子邮件,我真的很想验证我打算做什么. TCP:25 for SMTP TCP:465 for SMTPS TCP:587 for SMTP TCP:80 for OWA http to https redirect TCP:443 for https/OWA/Active Sync/EWS/Autodiscover TCP:143 for Endpoint Mapper/IMAP4 Client Access TCP:993 for IMAP4 Client Access (also) TCP:110 for POP3 (because some technological dinosaur of a VIP probably uses POP3 at his beach house/ski cabin/where ever) TCP:995 for POP3 (because some technological dinosaur of a VIP probably uses POP3 at his beach house/ski cabin/where ever)
对于广泛的全协议实现而言,这看起来大多是正确的.一些建议:
除非您有商业理由的邮件客户端需要所有这些,否则将其限制为25,80,443.不允许POP访问,这是明文密码.不允许客户端SMTP访问,这是一个纯文本密码. (当然,要接受来自互联网的邮件,您需要打开TCP 25.) 使用移动设备或Outlook Anywhere的任何人都将使用HTTPS进行Outlook Anywhere或EWS / Activesync. 如果我们想写一篇关于安全性的整篇文章,那么您将接受不属于您的域的MX记录的电子邮件,并且您的Exchange服务器只接受来自该/那些主机的TCP 25.您可以使用边缘传输,第三方产品或托管服务. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- windows平台下微信多开的方法
- wpf – WindowsFormsHost控件上的ContextMenu
- Windows openvpn客户端已连接但ip未更改
- 在win32 API和.NET框架之间进行选择
- windows-phone-7.1 – Windows Phone – PhotoChooserTask没
- 如何在Windows 7中使一个服务依赖于另一个服务?
- windows-server-2008 – 我如何创建灵活的EC2 Windows 2008
- static – 在页面之间共享数据的最佳实践
- windows – 通过USB端口发送和接收数据
- windows – 为什么COM CoInitializeSecurity在我的DLL中失败
- 在Windows远程服务器中运行命令,并在C#.NET中获取
- windows-server-2008 – 如何在Windows Server 2
- Windows Server:复制没有DFS的文件夹?
- windows-7 – 没有足够的存储空间来处理此命令
- 如何创建MSI包,它可以安装Windows安装程序本身
- 找出占用Installer 目录空间的元凶
- Microsoft Edge浏览器下载文件乱码修复方法
- windows下升级PHP到5.3.3的过程及注意事项
- windows – 我可以阻止Active Directory帐户锁定
- windows-phone-8 – Nokia Imaging SDK是否有硬件