保護整合通訊網路流量的安全

 

適用版本： Exchange Server 2010 SP2, Exchange Server 2010 SP3

上次修改主題的時間： 2009-10-10

您組織的整體網路安全性的重要一環是正確設定 Microsoft Exchange Server 2010 Unified Messaging (UM) server。讓整合通訊伺服器、IP 閘道器及其他執行 Exchange 2010 的伺服器使用傳輸層安全性 (TLS) 或 IP 安全性來進行通訊，可以增加整個網路的安全性層級。下列包含安全性相關主題的資訊及連結，可協助您增加網路的保護層級。

保護網路流量的安全

整合通訊是否可以在安全或不安全模式下與 IP 閘道器、IP 專用交換機 (PBX) 及其他 Exchange 2010 電腦進行通訊，視 UM 撥號對應表的設定方式，以及是否已在網路上的 IP 閘道器與 Unified Messaging Server 之間建立適當的憑證信任而定。在不安全模式下，Voice over IP (VoIP) 及工作階段初始通訊協定 (SIP) 流量不會受到加密。不過，您可以使用 VoIPSecurity 參數來設定 UM 撥號對應表以及 UM 撥號對應表關聯的 UM 伺服器。VoIPSecurity 參數會將撥號對應表，設定為使用相互傳輸層安全性 (TLS) 以及 SIP 安全或安全模式，將 VoIP 及 SIP 流量加密。

您可以執行一些動作來協助保護您組織中的 UM 伺服器，以及 IP 閘道器與 UM 伺服器之間，以及 UM 伺服器與其他 Exchange 2010 伺服器之間傳送的網路流量。若要了解必須在 UM 環境中使用哪些元件，來協助保護您組織中的 UM 伺服器所傳送及接收的網路資料，您必須先了解如何執行下列作業：

• 使用 IPsec 保護 UM 網路資料。

• 使用 TLS 保護 UM 網路資料。

• 在整合通訊中使用不同類型的憑證來執行 TLS。

• 正確設定 UM 伺服器及 IP 閘道器來使用 TLS。

UM 安全性元件

為協助讓 Unified Messaging Server 以安全方式與其他 Exchange 2010 伺服器及 IP 閘道器進行通訊，必須設定多項元件。下列元件可以協助保護透過網路傳送之資料的安全：

• **IPsec   **IPsec 會使用加密型保護服務、安全通訊協定及動態金鑰管理。它提供了強度及彈性來協助保護私人網路電腦、網域、站台、遠端站台、外部網路及撥號用戶端之間的通訊。甚至可以用來封鎖特定類型流量的收發。如需可用來協助保護 UM 流量安全之安全性選項的相關資訊，請參閱了解整合通訊 VoIP 安全性。

• **TLS   **成功匯入及匯出必要的信任憑證之後，IP 閘道器會向 UM 伺服器要求憑證，然後再向 IP 閘道器要求憑證。在 IP 閘道器與 UM 伺服器之間交換信任的憑證，可協助保護 IP 閘道器與 UM 伺服器使用 TLS 互相通訊所透過之通道的安全。如需可用來協助保護 UM 流量安全之安全性選項的相關資訊，請參閱了解整合通訊 VoIP 安全性。

• **憑證   **數位憑證是一種作用類似線上護照的電子檔案，用來驗證使用者或電腦的身分。它們會用來建立可協助保護資料的加密通道。基本上，憑證是由憑證授權單位 (CA) 發出的數位聲明，可證實憑證持有者的身分，並可讓各方透過加密功能，以安全的方式來通訊。憑證可由受信任的協力廠商 CA 發出 (例如使用憑證服務)，也可以自行簽署。如需可用來協助保護 UM 流量安全之安全性選項的相關資訊，請參閱了解整合通訊 VoIP 安全性。

• **VoIP 安全性   **視 UM 撥號對應表的設定方式而定，整合通訊可以在安全或不安全模式下與 IP 閘道器、IP PBX 及其他 Exchange 2010 電腦通訊。UM 撥號對應表預設會以非安全模式進行通訊。您可以在 Exchange 管理命令介面中使用 Get-UMDialPlan 指令程式，來判定指定之 UM 撥號對應表的安全性設定。如需如何在 UM 撥號對應表上啟用 VoIP 安全的詳細資訊，請參閱設定 UM 撥號對應表上的 VoIP 安全性。

 © 2010 Microsoft Corporation. 著作權所有，並保留一切權利。