Hop*_*00b 6 security exchange firewall exchange-2010 windows-firewall
作为最近的渗透测试的结果,我们表现不佳,我注意到我们面向互联网的、多角色合一的 Exchange 2010 SP3 服务器没有安装防火墙,因此完全暴露在互联网上。我自己验证了结果,确实很糟糕。SMB、LDAP、远程注册表、RDP 以及您在 Windows Active Directory 环境中找到的所有其他默认服务都通过我们的 Exchange 服务器暴露在 Internet 上。
自然地,我想解决这个问题,并计划用 Windows 防火墙来解决这个问题,但在谷歌搜索中,我从官方来源找到的只是端口引用,这些引用似乎适用于内部 Exchange 流量,并且一个的Technet博客中说,不使用这些引用来配置防火墙,因为Exchange服务器之间唯一支持的配置是等效ANY:ANY allow规则。:/
鉴于我们使用 Active Sync、OWA、IMAP、日历/地址簿共享、自动发现和 Outlook 客户端访问,有人知道面向 Internet 的多角色合一 Exchange 服务器需要哪些防火墙规则吗? (任何拥有官方 MS 来源的人也可以获得小额赏金形式的奖励积分。)
在我的头脑中,由于意外的 Exchange 管理员和意外的 IT 安全人员的丰富经验,我想出了下面的列表(对我来说既太长又太短),但在我走之前可能会破坏一千个抱怨的用户的电子邮件,我真的很想验证一下我打算做什么。
TCP:25 for SMTP
TCP:465 for SMTPS
TCP:587 for SMTP
TCP:80 for OWA http to https redirect
TCP:443 for https/OWA/Active Sync/EWS/Autodiscover
TCP:143 for Endpoint Mapper/IMAP4 Client Access
TCP:993 for IMAP4 Client Access (also)
TCP:110 for POP3 (because some technological dinosaur of a VIP probably uses POP3 at his beach house/ski cabin/where ever)
TCP:995 for POP3 (because some technological dinosaur of a VIP probably uses POP3 at his beach house/ski cabin/where ever)
Kat*_*ard 11
mfinni 所说的,除了我们将三个端口转发到防火墙后的多合一交换盒之外:
25: SMTP
80: HTTP (redirect to OWA HTTPS)
443: HTTPS
这对于使用 Android、iPhone 等设备的人来说效果很好。一般来说,家里的人无论如何都使用 OWA 或他们的手机。
编辑:由于您要求提供 Microsoft 来源,因此这是一篇关于防火墙和 SBS 2008 的 TechNet 文章的链接,该文章具有多合一的 Exchange 配置。他们建议:
Service or Protocol Port
SMTP e-mail TCP 25
HTTP Web traffic TCP 80
HTTPS Web traffic TCP 443
SharePoint Services TCP 987
VPN TCP 1723
Remote Desktop Protocol TCP 3389
您显然不需要 Sharepoint、VPN 或 RDP,它们只剩下 25、80 和 443。
而这里的2011年SBS的链接,其中有Exchange 2010的相同的端口(减去RDP)。
对于广泛开放的全协议实现,这看起来几乎是正确的。一些建议:
除非您的邮件客户端有商业理由要求所有这些,否则将其限制为 25、80、443。不允许 POP 访问,这是一个明文密码。不允许客户端 SMTP 访问,这是一个明文密码。(当然,要接受来自 Internet 的邮件,您需要打开 TCP 25。)
使用移动设备或 Outlook Anywhere 的任何人都将使用 Outlook Anywhere 或 EWS/Activesync 的 HTTPS。
如果我们想写一篇关于安全的整篇文章,您将接受发送到不属于您的域的 MX 记录的电子邮件,而您的 Exchange 服务器将只接受来自该/那些主机的 TCP 25。您可以使用边缘传输、第 3 方产品或托管服务。
| 归档时间: |
|
| 查看次数: |
1344 次 |
| 最近记录: |