發佈Exchange 2000伺服器

定義

路由器。 結合多個網路的實體裝置。 路由器介面是指定給 IP 位址。 這個位址便是其所服務之網路區段的預設閘道。

路由需求

開始執行本文提供的案例以前：

• 設定已發佈的 Exchange、OWA 和 SMTP 伺服器做為 SecureNAT 用戶端。
• 安裝 ISA Server 以前，建立所有內部網路的路由。

設定 SecureNAT 用戶端

若要適當地路由傳輸，必須正確設定 SecureNAT 用戶端的預設閘道。 組態設定依網路技術而不同：

• 簡單網路。 簡單的網路拓樸在 SecureNAT 用戶端與 ISA Server 電腦之間，沒有設定路由器。
• 複雜網路。 複雜網路拓樸在 SecureNAT 用戶端與 ISA Server 電腦之間，會設定一個或多個路由器來橋接多個子網路。 確定路由器不是設定為捨棄送往網際網路目的地之傳輸。

下表顯示如何根據網路拓樸來設定預設閘道，以確保傳送成功。

Route Add 指令

在複雜網路上，為內部網路上的所有網路區段定義 ISA Server 路由。 路由表可以使用 ROUTE ADD 指令，或使用動態路由通訊協定 (如 Routing Information Protocol (RIP))，手動填入。

ROUTE ADD 指令的語法如下：

ROUTE ADD「目的地網路 ID」MASK「預設閘道 IP 位址」

ISA Server 組態

ISA Server 2000 提供兩種基本功能： 提升速度，讓用戶端能夠存取網際網路內容，並提供安全防火牆，在提供內容送入及送出私人網路時，保護內部資源。 ISA Server 是應用程式層級防火牆，可以提供 Exchange 服務給外部用戶端使用。

如需取得有關設定本文件所描述案例的逐步指示說明，請參閱功能套件中所包含的案例文件記錄。

已定義的最佳組態設定

Exchange 環境最安全的組態設定是，只提供用戶端所需存取權的設定，除此之外無他：

• 只有指定的內部伺服器可以在公司以外傳送資訊。 在公司以外所能看見的伺服器只有 ISA Server 電腦。
• 只有允許 RPC、OWA 和 SMTP 傳輸的三個連接埠可以在公司以外看見。
• 只允許輸出 SMTP 和 DNS 傳輸。
• 所有網頁傳輸都是安全的。
• 訊息過濾器是設定為篩選掉不想要的郵件。

限制潛在洩漏資料的點，也就是限制使用用戶端位址集和通訊協定規則，存取及進出網路。 「用戶端位址集」指定將與網際網路通訊的內部伺服器。 若要發佈 Exchange，只能建立一個包含所有橋頭伺服器 IP 位址的用戶端位址集。 此時的橋頭伺服器是做為傳送 SMTP 郵件出入網際網路的訊息傳輸點伺服器。 然後再建立「通訊協定規則」，只允許特定通訊協定定義 (例如 HTTP 或 SMTP) 進出網路。 只有必要的通訊協定定義才允許存取進入網路中。 其他所有傳輸都加以阻擋。

限制傳出傳輸

ISA Server 2000 只建立輸出連線的連接埠。 輸入傳回傳輸並未加以阻檔，因為 ISA Server 可以在異動期間，動態開啟連接埠。 確保只有輸出的 SMTP 和 DNS 傳輸，才允許從 Exchange 伺服器輸出，以限制來自內部網路的資訊類型。 Exchange 只需要下列通訊協定： 必須有 SMTP 輸出傳輸，才能傳送電子郵件訊息給公司外面的收件者；必須允許 DNS 傳輸，以便讓內部 DNS 伺服器執行 DNS 查詢來解析 FQDN。

限制可見連接埠

ISA Server 2000 要求只看見 TCP 連接埠 25、135 和 443，以便只提供必要的存取。 連接埠 25 允許輸入 SMTP 傳輸，以便接收來自公司外面的電子郵件。 可以更進一部使用內建訊息過濾器來保護 SMTP 傳輸，下文會有更詳細的論述。 必須要有連接埠 135，來自 MAPI 用戶端的 RPC 要求才能存取端點對應程式服務，讓用戶端在動態指定的高層次連接埠上，與 Exchange 服務連線。

LAT 需求

本機位址表 (LAT) 定義 ISA Server 如何解譯屬於網路內部的電腦位址，以及屬於網路外部的電腦位址。 LAT 透過指定在 ISA Server 防火牆界限之內的 IP 位址範圍，提供安全基礎架構的基礎。 只要是在 LAT 以外，都會受限於 ISA Server 所訂定的限制。 ISA Server 組態的 LAT 將包含 Exchange 服務需要的所有伺服器，包括：Exchange、SMTP、Active Directory 與內部 DNS 伺服器。

ISA 伺服器發佈

伺服器發佈是 ISA Server 2000 讓用戶端能夠在網際網路上使用內部伺服器的一種方式。 ISA Server 會處理所有已發佈內部伺服器的網際網路用戶端要求，外表看起來好像 ISA Server 是外部用戶端的 Exchange 伺服器。 然後 ISA Server 會傳送要求給 Exchange 伺服器，再將回應傳回用戶端。 ISA Server 可以執行轉寄與反轉 Proxy 功能。 轉寄 Proxy 使得外部內容選擇性地提供給內部用戶端使用。 在發佈 Exchange 時，ISA Server 是做為反轉 Proxy 伺服器，使得內部內容能夠提供給外部用戶端使用。 伺服器與網頁發佈都是用來執行這些反轉的 Proxy 功能。 網頁發佈只用來提供 OWA 給網際網路用戶端使用。 伺服器發佈是用來提供 Exchange 給 MAPI、POP3 與 IMAP4 用戶端使用。