對於面向 Internet 的多功能 Exchange 伺服器,我需要什麼才能通過防火牆?
由於最近一次滲透測試的結果,我們表現不佳,我注意到我們面向 Internet 的多功能一體式 Exchange 2010 SP3 伺服器沒有安裝防火牆,因此完全暴露在網際網路上。我自己驗證了結果,確實很糟糕。SMB、LDAP、遠端系統資料庫、RDP 以及您在 Windows Active Directory 環境中找到的所有其他預設服務都通過我們的 Exchange 伺服器向 Internet 公開。
自然,我想解決這個問題,併計劃用 Windows 防火牆來解決這個問題,但是在Google搜尋中,我從官方來源中找到的只是埠引用,這些引用似乎適用於內部 Exchange 流量,並且一篇Technet 部落格文章說不要使用這些參考來配置您的防火牆,因為 Exchange 伺服器之間唯一受支持的配置相當於一條
ANY:ANY allow
規則。:/鑑於我們使用 Active Sync、OWA、IMAP、日曆/地址簿共享、自動發現和 Outlook 客戶端訪問,是否有人知道面向 Internet 的多合一 Exchange 伺服器需要哪些防火牆規則? (對於擁有官方 MS 資源的任何人,也可以以小額賞金的形式獲得獎勵積分。)
在我的腦海中,作為一名意外的 Exchange 管理員和意外的 IT 安全人員,我有很多經驗,我想出了下面的列表(對我來說似乎太長也太短),但在我去之前可能會破壞一千個抱怨使用者的電子郵件,我真的很想驗證我打算做什麼。
TCP:25 for SMTP TCP:465 for SMTPS TCP:587 for SMTP TCP:80 for OWA http to https redirect TCP:443 for https/OWA/Active Sync/EWS/Autodiscover TCP:143 for Endpoint Mapper/IMAP4 Client Access TCP:993 for IMAP4 Client Access (also) TCP:110 for POP3 (because some technological dinosaur of a VIP probably uses POP3 at his beach house/ski cabin/where ever) TCP:995 for POP3 (because some technological dinosaur of a VIP probably uses POP3 at his beach house/ski cabin/where ever)
對於廣泛開放的全協議實現來說,這看起來大部分是正確的。一些建議:
除非您有郵件客戶端,有商業理由,需要所有這些,否則將其限制為 25、80、443。不允許 POP 訪問,這是一個明文密碼。不允許客戶端 SMTP 訪問,這是一個明文密碼。(當然,要接受來自 Internet 的郵件,您需要打開 TCP 25。)
使用移動設備或 Outlook Anywhere 的任何人都將為 Outlook Anywhere 或 EWS/Activesync 使用 HTTPS。
如果我們想寫一篇關於安全性的完整文章,您將接受發送到不屬於您的域的 MX 記錄的電子郵件,並且您的 Exchange 伺服器將只接受來自該/那些主機的 TCP 25。您可以使用邊緣傳輸、第三方產品或託管服務。