編者語：在本周六51CTO將會舉辦51CTO技術沙龍：Windows運維那些事兒，在當天微軟MVP岳雷老師將會為大家講解《關于Forefront TMG升級與運維的那些事兒》。目前沙龍報名正在進行中，假如有興趣了解Forefront TMG的朋友可以報名參加。本次沙龍為免費參加，報名請點擊此處

【51CTO精選譯文】在本文中，你將學習如何借助Forefront TMG的先進功能來改善Exchange 2010的安全性。

構筑Exchange 2010的一大重要內容，就是讓用戶可以不受時間與空間的限制，隨心所欲地收發(fā)郵件。對于你的用戶而言，這一功能將大大簡化他們的工作流程；然而對于作為管理員的你來說，這卻意味著更大的工作量，因為你必須要確保Exchange Server免受來自企業(yè)之外網(wǎng)絡的攻擊。

我常?？吹紼xchange 2010借由允許各種端口訪問的方式被直接發(fā)布到互聯(lián)網(wǎng)上。無論如何，這種做法其實破壞了Forefront TMG的大部分安全功能。Forefront支持身份預驗證，也就是說用戶不必直接通過Exchange Server的身份驗證，而是只要提前通過Forefront的驗證就能登陸。而Forefront擁有接入Exchange服務器的最高權限。

這種方式提高了應對各種負面情況時的安全性；其優(yōu)勢之一是，你不必將Exchange直接發(fā)布到互聯(lián)網(wǎng)上。而Forefront的另一安全保障特色是，它同時可以作為網(wǎng)頁代理進行運作。這種運作方式的保護機制同樣是基于身份預驗證。任何人都無法從網(wǎng)絡上查看你的Exchange Server，因為它一直處于防火墻的完全保護之下。

Forefront同樣支持應對網(wǎng)頁過濾器和電子郵件過濾器。當接入Exchange的申請受到SSL安全保護（SSL絕對是提供基本安全保障的必備工具），并且僅僅通過防火墻的檢測后就抵達了Exchange，這些過濾器是無法正常生效的，因為它們所能讀取到的只是經(jīng)過加密的字節(jié)流。Forefront能與SSL橋接并協(xié)作，這意味著用戶們仍然可以使用SSL來訪問他們的電子郵件，只不過Forefront會對網(wǎng)絡數(shù)據(jù)流進行監(jiān)控。

在SSL橋接之后，用戶可以建立由SSL至Forefront TMG的連接通道，而Forefront TMG則同時建立一個由SSL至Exchange的連接通道。這樣一來，當通路關閉時Forefront就可以監(jiān)控網(wǎng)絡數(shù)據(jù)流。無論如何，即便SSL無法讓用戶直接與Exchange相連通，所有的網(wǎng)絡數(shù)據(jù)流也始終處于SSL的保護之下。

在我開始著手介紹具體的設置步驟之前，我想先向大家展示一幅圖片，它通過將整個網(wǎng)絡體系的拓撲架構圖形化來列舉實踐本篇指南文章的前提條件。對我來說網(wǎng)絡拓樸結構非常簡明，但它其實還可以進一步簡化。Exchange 2010的訪問服務客戶端與電子郵箱服務是可以共存于一臺服務器上的，沒必要將它們分別安裝在獨立的主機上。

使用Forefront TMG來對Exchange 2010進行安全保護的前提條件

1. 能夠正常運行的Exchange 2010并安裝 Forefront TMG。

2. 你必須對Split-DNS進行配置，這意味著你要保證自己的內部網(wǎng)絡與外部網(wǎng)絡使用同一個域名。我用的域名是contoso.com，以下內容以此為例。

3. Outlook頁面應用程序（簡稱OWA）、Outlook Anywhere以及Exchange ActiveSync都使用mail.contoso.com作為其正式域名。

4. 你還需要一份有效的認證。Mail.contoso.com必須是經(jīng)過認證的主體，并且autodiscover.contoso.com必須被列入“Subject Alternative Name（主體備用名稱）”當中。

如果大家能夠滿足以上幾項前提條件，我們就可以在我的下一篇指南文章《分步指南：保障你的Exchange 2010 Server安全》中繼續(xù)探討Forefront TMG的使用。

原文地址：http://4sysops.com/archives/secure-your-exchange-2010-server-with-forefront-tmg-part-1/

【51CTO精選譯文 未經(jīng)允許謝絕轉載 合作媒體轉載請標明出處與作者】

【編輯推薦】

1. 執(zhí)行 Exchange 2010 自定義安裝
2. Exchange 2010 先決條件
3. Exchange 2010 系統(tǒng)要求
4. Exchange 2010遷移前的環(huán)境概述
5. 在 Exchange 2010 環(huán)境中安裝 Exchange 2003/2007