Защита сетевого трафика единой системы обмена сообщениями
Применимо к: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Последнее изменение раздела: 2007-08-29
Важным аспектом обеспечения общей безопасности сети организации является правильная настройка параметров безопасности для серверов единой системы обмена сообщениями Microsoft Exchange Server 2007. Повысить уровень безопасности всей сети можно, включив для серверов единой системы обмена сообщениями, шлюзов IP и других серверов с сервером Microsoft Exchange Server 2007 протокол TLS или IPsec. В этом разделе приведены сведения, помогающие надежнее защитить сеть, и ссылки на соответствующие темы.
Защита сетевого трафика
Единая система обмена сообщениями может взаимодействовать с шлюзами IP, внутренними УАТС с поддержкой протокола IP и другими компьютерами с сервером Exchange 2007 в безопасном и небезопасном режимах. Способ взаимодействия зависит от настройки абонентской группы единой системы обмена сообщениями и наличия соответствующих доверительных отношений, установленных с помощью сертификатов между шлюзами IP и серверами единой системы обмена сообщениями в сети организации. В небезопасном режиме трафик протоколов VoIP и SIP не шифруется. Однако абонентские группы единой системы обмена сообщениями и связанные с ними серверы единой системы обмена сообщениями можно настроить с помощью параметра VoIPSecurity. Параметр VoIPSecurity настраивает абонентские группы для шифрования трафика VoIP и SIP с помощью протокола MTLS (Mutual Transport Layer Security). Этот режим называется безопасным.
Есть несколько мер, которые можно предпринять для защиты серверов единой системы обмена сообщениями и сетевого трафика, передаваемого между серверами единой системы обмена сообщениями и шлюзами IP, а также другими серверами Exchange 2007 в организации. Чтобы разобраться с компонентами, которые необходимо использовать в среде единой системы обмена сообщениями для защиты сетевых данных, отправляемых и принимаемых серверами единой системы обмена сообщениями в организации, необходимо сначала изучить способы решения следующих задач:
защита данных единой системы обмена сообщениями, пересылаемых по сети, с использованием протокола IPsec;
защита данных единой системы обмена сообщениями, пересылаемых по сети, с использованием протокола TLS;
использование различных типов сертификатов с единой системой обмена сообщениями для реализации защиты с помощью протокола TLS;
правильная настройка серверов единой системы обмена сообщениями и шлюзов IP для использования протокола TLS.
Компоненты механизма обеспечения безопасности единой системы обмена сообщениями
Для защиты взаимодействия сервера единой системы обмена сообщениями с другими серверами Exchange 2007 и шлюзами IP необходимо настроить ряд компонентов. Указанные ниже компоненты помогают защитить передаваемые по сети данные.
Протокол IPsec Протокол IPsec включает криптографические службы защиты, протоколы безопасности и динамическое управление ключами. Он обеспечивает надежную и гибкую защиту взаимодействия между компьютерами частной сети, доменами, узлами, удаленными узлами, внешними сетями и клиентами удаленного доступа. Его даже можно использовать для блокирования приема или передачи конкретных типов трафика. Дополнительные сведения о параметрах обеспечения безопасности трафика единой системы обмена сообщениями см. в разделе Общие сведения о безопасности VoIP единой системы обмена сообщениями.
Протокол TLS После успешного экспорта и импорта необходимых доверенных сертификатов шлюз IP запрашивает сертификат у сервера единой системы обмена сообщениями, а затем последний запрашивает сертификат у шлюза IP. Обмен доверенными сертификатами между шлюзом IP и сервером единой системы обмена сообщениями помогает защищать канал, по которому они взаимодействуют, с использованием протокола TLS. Дополнительные сведения о параметрах обеспечения безопасности трафика единой системы обмена сообщениями см. в разделе Общие сведения о безопасности VoIP единой системы обмена сообщениями.
Сертификаты Цифровые сертификаты — это файлы, которые действуют подобно интернет-паспортам, подтверждая подлинность пользователя или компьютера. Кроме того, они используются для создания каналов передачи данных с шифрованием. По сути, сертификат — это выданный центром сертификации цифровой документ, который подтверждает подлинность владельца сертификата и позволяет сторонам взаимодействовать безопасным способом, используя шифрование. Сертификаты могут выдаваться доверенными сторонними центрами сертификации, например с помощью служб сертификации, или могут быть самозаверяющими. Дополнительные сведения о параметрах обеспечения безопасности трафика единой системы обмена сообщениями см. в разделе Общие сведения о безопасности VoIP единой системы обмена сообщениями.
Безопасность VoIP Единая система обмена сообщениями может взаимодействовать с шлюзами IP, внутренними УАТС с поддержкой протокола IP и другими компьютерами Exchange 2007 в безопасном или небезопасном режиме в зависимости от настройки абонентских групп единой системы обмена сообщениями. По умолчанию абонентские группы единой системы обмена сообщениями осуществляют взаимодействие в небезопасном режиме. Определить параметры безопасности абонентской группы единой системы обмена сообщениями можно с помощью командлета Get-UMDialPlan в командной консоли Exchange. Дополнительные сведения о том, как включить обеспечение безопасности VoIP для абонентской группы единой системы обмена сообщениями, см. в разделе Настройка параметров безопасности для телефонной группы единой системы обмена сообщениями.
Дополнительные сведения
Дополнительные сведения об абонентских группах единой системы обмена сообщениями см. в разделе Общие сведения о телефонных группах единой системы обмена сообщениями.
Дополнительные сведения о функциях обеспечения безопасности, доступных в сервере Exchange 2007, см. в разделе Безопасность и защита.