由于最近一次渗透testing的结果,我们没有得到很好的结果,我们注意到我们面向互联网的全functionExchange 2010 SP3服务器没有安装防火墙,因此,完全暴露于互联网。 我亲自validation了结果,这确实很糟糕。 通过我们的Exchange服务器,SMB,LDAP,远程registry,RDP以及您在Windows Active Directory环境中find的所有其他默认服务都会暴露给互联网。
当然,我想解决这个问题,并计划用Windows防火墙来做到这一点,但是在谷歌search中,我所能find的关于官方来源的端口引用似乎适用于内部交换stream量 ,一个Technet博客文章说,不要使用这些引用来configuration您的防火墙 ,因为Exchange服务器之间唯一支持的configuration相当于一个ANY:ANY allow规则。 :/
鉴于我们使用Active Sync,OWA,IMAP,日历/地址簿共享,自动发现和Outlook客户端访问,是否有人知道什么防火墙规则是一个所有的angular色在互联网所面临的Exchange服务器所需? (对于任何拥有官方MS来源的人来说,奖金也是一个小小的奖励)。
在我头顶,有一些偶然的交换pipe理员和偶然的IT安全人员的经验,我已经拿出了下面的列表(这对我来说似乎太长和太短),但在我走之前,可能会破坏一千个用户的电子邮件,我真的很想核实一下我打算做的事情。
TCP:25 for SMTP TCP:465 for SMTPS TCP:587 for SMTP TCP:80 for OWA http to https redirect TCP:443 for https/OWA/Active Sync/EWS/Autodiscover TCP:143 for Endpoint Mapper/IMAP4 Client Access TCP:993 for IMAP4 Client Access (also) TCP:110 for POP3 (because some technological dinosaur of a VIP probably uses POP3 at his beach house/ski cabin/where ever) TCP:995 for POP3 (because some technological dinosaur of a VIP probably uses POP3 at his beach house/ski cabin/where ever)
这对于一个全面开放的全协议实现来说大体上是正确的。 一些build议:
除非你有邮件客户端,有商业上的理由,要求所有这一切,限制到25,80,443。不允许POP访问,这是一个纯文本密码。 不允许客户端SMTP访问,这是一个纯文本密码。 (当然,接受来自互联网的邮件,你需要TCP 25打开。)
任何使用移动设备或Outlook Anywhere的用户都将使用适用于Outlook Anywhere或EWS / Activesync的HTTPS。
如果我们想写一篇关于安全性的文章,你会接受一封不属于你域名的MXlogging的电子邮件,而你的Exchange服务器只接受来自那个/那些主机的TCP 25。 您可以使用边缘传输,或第三方产品或托pipe服务。
mfinni说,除了我们转发三个端口到防火墙后的一体化交换箱:
25: SMTP 80: HTTP (redirect to OWA HTTPS) 443: HTTPS
这对于Android,iPhone等人来说工作得很好。一般来说,在家里的人使用OWA或他们的电话,无论如何。
编辑:由于您要求提供Microsoft源代码, 因此这是指向防火墙和SBS 2008的TechNet文章的链接, 该文档具有全部的Exchangeconfiguration。 他们build议:
Service or Protocol Port SMTP e-mail TCP 25 HTTP Web traffic TCP 80 HTTPS Web traffic TCP 443 SharePoint Services TCP 987 VPN TCP 1723 Remote Desktop Protocol TCP 3389
你显然不需要Sharepoint,VPN或RDP,它会留下25,80和443。
以下是带有Exchange 2010的SBS 2011的链接。相同的端口(减RDP)。