邮件安全解决方案建议书.doc

xXx公司邮件安全解决方案微软（中国）有限公司目录第1章 管理层总论3第2章 需求分析3第3章 整体方案建议4第4章 Microsoft Forefront Security for Exchange Server5第5章 AD RMS权限管理服务12第6章 ISA Server 2006的边界防护（可选）14第7章 软件配置22第8章 部署实施22第9章 附录：Exchange 2007邮件系统23 44 / 44第1章 管理层总论当今,电子邮件已成为企业必不可少的一种高效通讯手段,大家通过邮件进行内部和外部的沟通。在大家受益于电子邮件通讯时,也发现针对电子邮件的威胁随之而来。病毒,垃圾邮件以及信息泄露等正威胁着企业。微软的电子邮件安全解决方案能够对基于微软平台的电子邮件系统从如下方面进行纵深防护。利用微软的产品和解决方案为XX公司构建安全、稳定、投资回报最大化的企业邮件系统架构，包括：1. 基于Exchange Server 2007和ForeFront的安全邮件服务；2. 基于ISA Server的邮件服务器发布和边界安全防护（可选）第2章 需求分析XX公司目前的现有网络拓扑如下图所示:请将客户的网络拓扑或者核心架构图置于此公司网络主要分为：l DMZ网络l 办公网络作为企业的关键应用之一，大家受益于电子邮件通讯时,也发现针对电子邮件的威胁随之而来。病毒,垃圾邮件以及信息泄露等正威胁着企业高效的垃圾邮件防护。客户经常遇到的问题包括：1日常工作中,电子邮件用不断的收到垃圾邮件以及病毒邮件的骚扰。2日常工作中,由于某些疏忽导致关键数据被意外的泄露，无法控制信息的受众对象。3现有厂商的单一引擎的杀毒软件漏杀率都比比较高，如果使用多家厂商的软件，管理成本又很高。4如何实现邮件邮件服务器和企业门户服务器的安全访问(可选)客户对于企业邮件系统的安全性和纵深防御上的要求主要表现在：1. 及时高效的病毒邮件防护2. 精确的信息内容过滤3. 信息授权控制保密管理4. 邮件服务器安全的远程访问(可选项目)第3章 整体方案建议微软的电子邮件安全解决方案通过Microsoft Exchange Server和 Forefront Server Security for Exchange的完美整合，提供了垃圾邮件，病毒防护以及内容过滤功能，通过部署基于Windows Server 2008的权限管理服务（RMS）进行邮件内容的权限控制管理，并可以通过ISA 2006为邮件服务提供安全高效的接入。图1 邮件安全解决方案图示全方位防护微软邮件安全解决方案集成了垃圾邮件,病毒邮件,内容过滤以及邮件权限管理等技术,从多方面对邮件系统进行防护。高效防护最新威胁微软的邮件安全解决方案集成了最多达9个业界一流安全厂商的防护引擎,可以避免由于单一防护架构带来的对新威胁反映的弊病才和系统架构完全高度整合由于整个安全方案均有微软提供,所以可以充分的利用已有的微软架构比如AD, Exchange等,并且安全软件可以完美兼容微软最新的邮件服务器。低管理维护成本虽然微软的邮件安全解决方案提供了最多达9种的防护引擎,但是管理界面是统一的,大大减轻了管理员的管理压力和维护成本。同时,因为整个系统均有微软提供,当碰到问题时,不会碰到各厂商互相推诿的情况。可以大大提高解决问题的效率。快速和安全的访问利用企业防护解决方案提供的深入的内容检查，细化的策略，以及全面的报警和监控功能，能够更加轻松地管理和保护您的网络，通过与 Microsoft 应用系统基础架构和 Windows 服务集成，ISA Server 2006 全面提高了企业网络的安全保护，实现快速和安全的企业邮件服务访问。第4章 Microsoft Forefront Security for Exchange Server 4.1 Forefront Security for Exchange Server概述Microsoft Forefront Security for Exchange Server 将来自业界领先的安全公司的多个扫描引擎集成在单个解决方案中，帮助企业保护其 Exchange 邮件环境不受病毒、蠕虫和垃圾邮件侵害。它提供并集成了多个业界领先的防病毒引擎，为对抗最新威胁提供全面、分层的保护。通过与 Exchange Server 的深入集成、扫描技术的创新和对性能的控制，Forefront Security for Exchange Server 可以在维护正常工作和优化服务器性能的同时帮助保护邮件环境。Forefront Security for Exchange Server 还使管理员能够方便地对服务器的配置和操作、自动化的扫描引擎特征的更新以及在服务器和企业级别的报告功能进行管理。Forefront Security for Exchange Server 包含由 Kaspersky Labs、CA 和 Sophos 等全球安全公司提供的业界领先的防病毒引擎。企业可以跨服务器系统以不同组合，一次运行多达五个扫描引擎。这样，就可以对新威胁快速作出响应，而不管威胁来自何方。Forefront Security for Exchange Server 可以自动下载最新特征，并选择要使用的最佳引擎组合，从而确保高水平的保护，并减少遭受任何特定威胁的可能性。防病毒引擎所具备的跨邮件服务器和客户端设备的多样性可以防止在 IT 环境中发生单点故障。Forefront Security for Exchange Server 客户将获得高级反垃圾邮件服务。高级反垃圾邮件服务建立于 Exchange Server 2007 中基本级别的反垃圾邮件保护之上。4.2 Forefront Security for Exchange Server 特点Microsoft Forefront Security for Exchange Server 通过强调利用分层防范措施、Exchange Server 性能及可用性的优化和简化管理控制的方法，帮助保护电子邮件基础架构，使其避免感染和停机。Forefront Security for Exchange Server协助 Exchange Server 2007 全面防范病毒、蠕虫和垃圾邮件，用于为 Exchange 2007 边缘、中心和邮箱服务器角色提供保护。全面保护： Microsoft Forefront Security for Exchange Server 将来自业界领先的安全公司的多个扫描引擎集成在一个解决方案中，帮助企业保护其 Exchange 邮件环境，防范病毒、蠕虫和垃圾邮件。经过优化的性能： 通过与 Exchange Server 的深入集成、扫描技术创新和性能控制，Forefront Security for Exchange Server 可以在保持正常工作时间和优化服务器性能的同时，帮助保护邮件环境。简化的管理： Forefront Security for Exchange Server 还使管理员能够方便地在服务器和企业层面，对配置与操作、自动化扫描引擎特征的更新和报告功能进行管理。4.3 Microsoft Forefront Security for Exchange Server: 功能Microsoft Forefront Security for Exchange Server 将来自业界领先安全公司的多个扫描引擎集成在一个解决方案中，帮助企业保护其 Exchange 邮件环境，防范病毒、蠕虫和垃圾邮件。它提供并集成了多个业界领先的防病毒引擎，为对抗最新威胁提供全面、分层的保护。通过与 Exchange Server 的深入集成、扫描技术的创新和对性能的控制，Forefront Security for Exchange Server 可以在保持正常工作和优化服务器性能的同时，帮助保护邮件环境。Forefront Security for Exchange Server 还使管理员能够在服务器和企业层面，方便地对服务器的配置和操作、自动化扫描引擎特征的更新和报告功能进行管理。全面保护用于实现高级保护的多个防病毒引擎Forefront Security for Exchange Server 包含由 Kaspersky Labs、CA 和 Sophos 等全球安全公司提供的业界领先的防病毒引擎。企业可以在服务器系统中，以不同组合，一次运行多达五个扫描引擎。这样，就可以对新威胁快速作出响应，而不管威胁来自何方。Forefront Security for Exchange Server 可以自动下载最新特征，并选择要使用的最佳引擎组合，从而确保高水平的保护，并减少遭受任何特定威胁的可能性。用于各种邮件服务器和客户端设备的防病毒引擎多样性可以防止在 IT 环境中发生单点故障。 高级垃圾邮件保护Forefront Security for Exchange Server 客户将获得高级反垃圾邮件服务。高级反垃圾邮件服务建立于 Exchange Server 2007 中基本级别的反垃圾邮件保护之上，并添加了以下功能：Exchange Server 2007 IP 信誉筛选器 它是专门为 Exchange Server 2007 客户提供的 IP 阻止列表。高级垃圾邮件保护还能自动更新此筛选器。Microsoft Smartscreen 垃圾邮件启发、仿冒网站的自动内容筛选更新，以及其他智能邮件筛选器 (IMF) 的更新。有针对性的垃圾邮件特征数据和自动更新，用于识别最新的垃圾邮件活动。 这些功能有助于确保企业拥有最新的保护机制，以抵御最新的垃圾邮件攻击。自动防故障保护Forefront Security for Exchange Server 采用多引擎管理器，可以确保如果一个引擎因脱机而无法更新甚至失败时，其他引擎可以继续保护邮件环境，而不会延迟邮件传递。分层保护Forefront Security for Exchange Server 在包括 Exchange Server 2007 边缘、中心和邮箱服务器在内的多个邮件基础架构检查点上提供保护，帮助阻止病毒、蠕虫和垃圾邮件影响网络或用户生产力。 抵御新的和隐藏的威胁Forefront Security for Exchange Server 包括启发技术，它可以根据行为特征检测恶意代码。它还有可配置的文件筛选规则，能够帮助客户消除已知会携带病毒的文件类型（例如 .exe）。对新威胁的多厂商响应从最初发现新威胁到传递特征以捕获它之间的关键时间内，企业将处于易受攻击的脆弱状态。依赖单引擎解决方案只会增加这种风险。一个安全供应商可能第一个传递一种威胁的特征，但在遇到下一个威胁时有可能是最后一个传递特征，因此，单引擎解决方案的效能水平不稳定。如果使用 Forefront Security for Exchange Server 的多引擎解决方案，则可由多个供应商立刻对新病毒作出响应，从而增加快速响应的机会，降低企业遭受每种新威胁危害的整体风险，而不管该威胁来自全世界的任何地方。自动下载有助于确保针对攻击的第一个有效解决方案被及时加载到 Forefront Security for Exchange Server 的引擎组中。 经过优化的性能性能优化和控制Forefront Security for Exchange Server 使用内存扫描技术扫描邮件和附件，使性能极大地超过了诸如后台磁盘缓存等传统技术。它的多线程化扫描能力能够使软件同时分析多个邮件，从而增加了邮件吞吐量。利用性能设置，IT 管理员可以针对所需的服务器性能级别，平衡实现需要的安全级别，以满足不断变化的环境需要。经过改进的电子邮件存储扫描效率Forefront Security for Exchange Server 使用 Exchange Server 2007 中的防病毒传输戳来确保这种情况的实现：如果邮件在 Exchange Server 2007 边缘或中心服务器上被扫描一次，就不用随后在管道中再次扫描它。该程序的增量后台扫描功能为在存储区中扫描发现最有可能携带最新威胁的邮件（例如，存在时间超过几小时或几天的电子邮件）提供了高效方式，而且不需要重复扫描整个存储区。这些功能使 IT 管理员能够节约有价值的邮件服务器资源。增加正常运行时间不同于单引擎解决方案，即使在引擎或特征更新期间，Forefront Security for Exchange Server 仍然能够使用所有可用引擎继续扫描电子邮件。如果更新可用，则每个引擎将单独脱机，同时其他引擎继续扫描电子邮件。Forefront Security for Exchange Server 还将确保如果引擎或特征更新失败，则它将以最后已知的好引擎和特征自动恢复联机。这些功能可以防止在 Exchange 服务器上发生邮件排队和延迟，并有助于确保邮件流不间断。 高效的威胁删除能力Forefront Security for Exchange Server 使垃圾邮件和蠕虫通信根本无法到达邮箱，从而减少了邮件服务器的工作负荷，并为业务关键信息节省了磁盘空间。Forefront Security for Exchange Server 的 WormPurge 功能可以自动清除与已知的蠕虫特征匹配的邮件，以减少不需要的邮件通信、释放存储空间并改进邮件服务器性能。通过删除这些邮件，可以避免用户产生混淆，并减少无根据的求助电话。有效的邮件群集支持Forefront Security for Exchange Server 支持包括 Exchange Server 2007 连续群集复制 (CCR) 在内的群集配置。该帮助可以确保主动和被动节点都有最新的配置信息和特征，这样，即使单个邮件服务器失败，邮件通信仍然可以继续处于安全状态。Exchange Server 2007 集成使用 Exchange 传输代理和病毒扫描 API (VSAPI) 有助于提供与 Exchange Server 2007 服务器的紧密兼容性和稳定性。Forefront Security for Exchange Server 利用 Exchange Server 2007 的传输代理和病毒扫描 API 技术，从而确保实现紧密集成。简化的管理Forefront Server Security 管理内置的管理控制台使管理员能够在本地或远程全部配置 Forefront Security for Exchange Server。集中化的基于 Web 的控制Forefront Security for Exchange Server 使用 Microsoft Forefront Server Security 服务器管理控制台，后者为拥有多个 Exchange 服务器的企业环境中的所有 Forefront Server Security 产品提供集中的配置、部署和更新支持。这使 IT 管理员能够方便地远程管理服务器、生成全面报告并跨基础架构接收病毒爆发警报。一步完成自动更新通过其快速更新过程，Microsoft 可以监视所有扫描引擎供应商网站上的更新和下载情况，并在新引擎版本和特征可用时对它们进行验证；然后，它联机发布它们，以便让 Forefront Security for Exchange Server 自动下载和安装。不需要 IT 部门的参与，就可以使所有引擎和特征保持最新。对于有多个 Exchange 服务器的环境，Forefront Server Security 管理控制台可以自动将特征和引擎更新分发给环境中所部署的所有 Forefront Security for Exchange Server。迁移保护购买 Forefront Security for Exchange Server 以帮助保护 Microsoft Exchange Server 2007 的客户还将获得使用 Microsoft Antigen for Exchange、Microsoft Antigen for SMTP Gateways 和 Antigen 垃圾邮件管理器的许可证，以便帮助保护其 Microsoft Exchange Server 2003 和 Microsoft Exchange 2000 Server 环境。此帮助将确保整个邮件环境在迁移到 Exchange Server 2007 期间得到保护。本地化Forefront Security for Exchange Server 现已本地化为 11 种语言，使管理员更容易用区域语言来管理其邮件服务器安全。在用所选的区域语言管理 Exchange Server 安全时，可以获得下列 11 种语言的 Forefront Security for Exchange Server：英语、德语、法语、日语、意大利语、西班牙语、朝鲜语、简体中文、繁体中文、巴西葡萄牙语和俄语。集成监视Microsoft Operations Manager 的管理包使 IT 管理员能够将 Forefront Security for Exchange Server 的运行状况作为公司运营管理工作的一部分进行管理。4.4 Forefront Security for Exchange Server 配置需求以下为系统最低配置需求最低配置处理器64-位基于 x64 基础架构的处理器：操作系统Microsoft Windows Server 2003/2008内存512MB 的可用内存 (建议为 1GB )硬盘300MB 的可用硬盘空间以上为系统最低配置要求，根据具体的配置情况，请参考：/Search/zh-CN/?query=forefront&ac=8第5章 AD RMS权限管理服务5.1 AD RMS概述通过将 Active Directory 权限管理服务 (AD RMS) 与 Microsoft ExchangeServer2007一起使用，可以通过持久使用策略来保护信息，从而部分实现组织的电子邮件遵从性策略。持久使用策略始终包含该信息。使用 AD RMS 有助于避免有意或无意地误用敏感信息（例如财务报表、产品规范、客户数据和机密邮件）。AD RMS 在 Windows Server 2003 上作为一个可安装组件运行，或者在 Windows Server 2008 X64 上作为一个称为 Active Directory 权限管理服务的集成组件运行。Exchange 2007 SP1 包含一个新代理，该代理使用 AD RMS 强制实现 ExchangeServer 和 Microsoft Office Outlook 客户端访问的信息的保密性。AD RMS 预许可代理使 Outlook 用户可以更方便地脱机打开受信息权限管理 (IRM) 保护的电子邮件，并可以通过 Mobile Access 打开电子邮件，而不会频繁地出现凭据提示。用户使用 OutlookWebAccess或 OutlookAnywhere 时，还可以通过 AD RMS 预许可代理访问电子邮件，而不会频繁地出现凭据提示。AD RMS 预许可代理包含在 Exchange 2007 SP1 中。必须在组织中的所有集线器传输服务器上运行 Exchange 2007 SP1，才能启用 Exchange 2007 中的 AD RMS 功能。5.2 ADRMS 系统执行过程授权受权限保护的信息。ADRMS 系统颁发权限帐户证书，标识可以发布受权限保护的内容的受信任实体（如用户、组和服务）。在建立信任关系之后，用户可以向他们要保护的内容分配使用权限和条件。这些使用权限指定谁可以访问受权限保护的内容以及他们能够执行的操作。当内容受到保护时，会为此内容创建发布许可证。此许可证将特定的使用权限绑定到给定的内容块，以便可以分发此内容。例如，用户在内容没有失去其权限保护的情况下，可以将受权限保护的文档发送给组织内外的其他用户。 获取许可证来解密受权限保护的内容并应用使用策略。被授予权限帐户证书的用户可以通过使用允许用户查看和处理受权限保护的内容并启用 ADRMS 的客户端应用程序来访问受权限保护的内容。当用户尝试访问受权限保护的内容时，会将请求发送到 ADRMS 以访问或“使用”该内容。当用户尝试使用受保护的内容时，ADRMS 群集上的 ADRMS 授权服务会发布一个唯一的使用证书，读取、解释和应用发布许可证中所指定的使用权限和条件。使用权限和条件具有永久性并自动应用于内容被传输到的任何位置。创建受权限保护的文件和模板。在 ADRMS 系统中作为受信任实体的用户可以通过在合并 ADRMS 技术功能并启用 ADRMS 的应用程序中使用熟悉的创作工具来创建和管理增强保护的文件。此外，启用 ADRMS 的应用程序还可以使用集中定义和正式授权的使用权限模板来帮助用户有效应用预定义的使用策略集。ADRMS 旨在帮助提高内容的安全性，无论受权限保护的内容移至何处都可以得到保护。 5.3 AD RMS新功能ADRMS 包括对早期版本的 RMS 的一些增强。这些增强包括以下内容：改进了安装和管理体验。ADRMS 包含在 Windows Server2008 中并作为服务器角色安装。此外，ADRMS 管理还可以通过 MMC 完成，这与早期版本中提供的网站管理不同。AD RMS 群集的自注册。ADRMS 群集无需连接到 Microsoft 注册服务即可注册。通过使用服务器自注册证书，注册过程可完全在本地计算机上完成。与 AD FS 集成。ADRMS 已经与 AD FS 集成，因此，企业可以使用现有的联合关系与外部伙伴合作。新的 AD RMS 管理角色。在任何企业环境中都需要将 ADRMS 任务委派给不同管理员的能力，这种能力已包括在本版本的 ADRMS 中。已创建了三个管理员角色：ADRMS 企业管理员、ADRMS 模板管理员和 ADRMS 审核员。第6章 ISA Server 2006的边界防护（可选）Microsoft Internet Security and Acceleration (ISA) Server 2006 引入了多网络支持、易于使用和高度集成的虚拟专用网配置、得到扩展和可扩充的用户和身份验证模式，以及改进的管理特性，包括配置的导入和导出。为企业邮件提供安全的发布和高效的多种接入环境。利用企业防护解决方案提供的深入的内容检查，细化的策略，以及全面的报警和监控功能，能够更加轻松地管理和保护您的网络。l 集成的安全性通过与 Microsoft 应用系统基础架构和 Windows 服务集成，ISA Server 2006 全面提高了企业网络的安全保护l 简化的管理利用简化的部署和管理工具降低总体拥有成本l 快速和安全的访问安全、高速和无缝地访问企业应用系统和数据l 防御来自内部和外部的、基于 Web 的威胁ISA Server 2006 提供更强的安全保护，以便管理和保护您的网络6.1 ISA Server 2006为企业带来的价值在防火墙内在防火墙外防火墙 加强网络安全性，为企业的内部应用和用户提供安全的IT环境 邮件、网络访问和使用的控制，即时消息和垃圾、病毒邮件的监控以及提供VPN访问的规范侦测和阻止入侵和攻击，保护内网安全缓存 加速网络访问能，节约用户时间加速员工访问Intranet和Internet的速度 加速企业外部的客户在访问企业网站时的体验6.2 选择合适的ISA Server 2006ISA Server有两个版本，标准版和企业版，它们之间的区别可以从下面三个方面来说明，以帮助我们在选择时能快速找到最适合我们企业的解决方案。扩展性：功能标准版企业版扩展性网络对复杂网络支持有限适应各种网络情况纵向扩展4CPU，2G内存本身没有限制横向扩展单服务器模式支持高达32节点的网络负载均衡缓存单服务器模式通过缓存阵列路由协议达到无限缓存也就是说，ISA的版本选择跟企业的网络复杂状况和用户数有关。可靠性：功能标准版企业版可靠性网络负载均衡不支持内置32节点网络负载均衡可扩展性：功能标准版企业版可管理性策略本地策略AD集成/应用模式带来的企业级策略分支机构手工导入/导出策略由企业级策略支持监测/预警单服务器监测控制台MOM管理包多服务器监测控制台MOM管理包多网络结构模版模版建议：如果您的企业不大（用户数100），网络不复杂，可以选择ISA标准版；如果您的企业中有不少交换机，用户数多，访问控制的策略又比较复杂的话，请选择企业版。6.3 ISA Server 2006的新增功能下表列出了 ISA Server 2006 的新增和改进功能。详细信息将会在随后的章节中说明。多网络新增或改进功能描述新增功能多网络配置可以配置一个或多个网络，每个网络都与其他网络有着独特的关系。访问策略是针对网络定义的，没有必要针对给定的内部网络进行定义。在 ISA Server 2000 中，所有通讯都根据包括内部网络上的唯一地址范围的本地地址表 (LAT) 进行检查，而 ISA Server 2006 扩展了防火墙和安全功能，可以应用于所有网络之间的通讯。新增功能独特的每网络策略ISA Server 的新增多网络功能可以保护您的网络免受内部或外部的安全威胁，方法是限制客户端（甚至组织内部）的通信。多网络功能支持复杂的外围网络（也称为 DMZ，网络隔离区或屏蔽子网）方案，因此可以配置不同网络中的客户端如何访问外围网络。新增功能所有通讯的状态检查您可以在防火墙协议的上下文中通过防火墙来检查数据和连接的状态，无论是源还是目标。新增功能NAT 和路由网络关系您可以使用 ISA Server 来定义网络间的关系，这取决于访问的类型和网络间所允许的通信。在一些情况下，您可能需要让网络间的通信更安全、更不透明。对于这些情况，您可以定义一个网络地址转换 (NAT) 关系。在其他情况下，您希望通过 ISA Server 简化路由通讯。在这些情况下，您可以定义一个路由关系。新增功能网络模板ISA Server 包括网络模板，这些对应于常见的网络拓扑。可以使用网络模板来配置用于网络间通讯的防火墙策略。当您应用某个网络模板时，ISA Server 会根据所指定的策略创建一套必要的规则来允许通讯。虚拟专用网络新增或改进功能描述改进功能VPN 管理ISA Server 包括高度集成的虚拟专用网络 (VPN) 机制。您可以像管理物理连接的网络和客户端那样，通过 ISA 服务器管理来管理 VPN 连接。ISA Server 的所有功能都可以用于 VPN 连接，包括监视、日志记录、会话管理。新增功能VPN的状态检查VPN 客户端配置为独立的网络。因此，您可以为 VPN 客户端单独创建策略。规则引擎有选择地检查来自 VPN 客户端的请求，根据访问策略按状态检查这些请求并动态地打开连接。新增功能与第三方 VPN 可互操作的解决方案由于支持行业标准 Internet 协议安全 (IPSec)，ISA Server 2006 可以插入到带有其他供应商的现有 VPN 基础结构的环境中，包括使用针对站点对站点连接的 IPSec 隧道模式的配置。新增功能隔离控制ISA Server 可以将 VPN 客户端隔离在“隔离的 VPN 客户端”网络中，直到验证它们符合企业安全要求为止。安全性和防火墙新增或改进功能描述新增功能广泛的协议支持ISA Server 2006 扩展了 ISA Server 2000 功能，可以允许您控制访问以及使用任何协议，包括 IP 级别的协议。您可以使用诸如 ping 和 tracert 这样的应用程序，并可以创建使用点对点隧道协议 (PPTP) 的 VPN 连接。此外，Internet 协议安全 (IPSec) 通讯可以通过 ISA Server 启用。改进功能身份验证可以使用内置的 Microsoft Windows 或远程身份验证拨入用户服务 (RADIUS) 身份验证类型或其他命名空间对用户进行身份验证。规则可以应用于任何命名空间中的用户或用户组。第三方供应商可以使用软件开发工具包来扩展这些内置的身份验证类型，提供其他身份验证机制。改进功能发布利用 ISA Server，您可以将服务器置于防火墙后端，或者位于企业网络上或者位于外围网络上，这样可以安全地发布它们的服务。缓存新增或改进功能描述改进功能缓存规则利用 ISA Server 的集中缓存规则机制，可以配置存储在缓存中的对象如何进行检索以及如何从缓存中获得服务。管理新增或改进功能描述改进功能管理ISA Server 包括新增的管理功能，可以使保护网络安全变得非常简单。新用户界面功能包括一个任务窗格、一个“帮助”选项卡、一个改进的入门向导以及防火墙策略编辑器的新外观。新增功能导出和导入ISA Server 引入了导出和导入配置信息的能力。您可以使用这个功能将配置参数保存到 .xml 文件中，然后从该文件中将信息导入到其他服务器中，这样就可以简化多个站点部署的防火墙配置复制。新增功能仪表板提供关键监视信息的单一的汇总视图。如果要查看某个问题，可以打开详细监视视图来获得详细信息。新增功能日志查看器ISA Server 日志查看器实时显示防火墙日志。可以在联机实时模式下显示日志，也可以在历史查看模式下显示日志。可以在日志字段应用筛选来确定特定条目。改进功能报告可以根据 Web 使用情况、应用程序使用情况、网络流量模式以及安全性来生成重复出现的报告或者只出现一次的报告。第7章 软件配置解决方案涉及的产品（以100用户为例）邮件用户数量所需产品100台备注Windows Server 2008 Standard1Windows Server CAL100Windows Server RMS CAL100Forefront Server security for Exchange100Internet Security & Acceleration Server 2006 STD 1可选第8章 部署实施Forefront Server Security For Exchange部署 （1人/天）Windows Rights management service 部署（2 人*天）ISA服务器安装和部署 （2人*天，可选）用户培训 （1 人*天）第9章 附录：Exchange 2007邮件系统作为一个同时在大型企业和中小型公司都得到广泛应用的企业消息系统，Exchange Server一直以来都致力于为大型企业和中小型公司同时提供可扩展性。但是，法规遵循、安全性和灾难恢复等的对消息系统的新的需求对提供一个能在小规模企业和大型企业内都能达到理想效果的消息系统带来了新的挑战。为了迎接这些新的挑战，Exchange Server 2007对体系结构进行了更新，以充分利用64位硬件平台的优势，通过简化的管理和路由来提高系统效率，同时让一台Exchange服务器可以承担一个或多个服务器角色。9.1.1 Exchange Server 2007体系结构1) 体系结构概览作为一个同时在大型企业和中小型公司都得到广泛应用的企业消息系统，Exchange Server一直以来都致力于为大型企业和中小型公司同时提供可扩展性。但是，法规遵循、安全性和灾难恢复等的对消息系统的新的需求对提供一个能在小规模企业和大型企业内都能达到理想效果的消息系统带来了新的挑战。为了迎接这些新的挑战，Exchange Server 2007对体系结构进行了更新，以充分利用64位硬件平台的优势，通过简化的管理和路由来提高系统效率，同时让一台Exchange服务器可以承担一个或多个服务器角色。2) 服务器角色Exchange Server提供了一个全面的、可以运行在一台单独服务器上的企业消息系统这意味着与Microsoft Small Business Server产品一样，所有的Exchange服务都可以在一台服务器上提供。但是，拥有一个可以安装到多台设备上的灵活的、模块化的系统可以在部署、管理和安全上获得重要的好处。这一概念最早在Exchange 2000 Server中引入，Exchange 2000 Server的前端服务器可以设置为将到来的Internet客户端协议请求转到合适的邮箱服务器上。前端服务器是可选的，它可以降低邮箱服务器上的负担并简化Microsoft Office Outlook Web Access (OWA) 和Exchange ActiveSync (EAS)用户的访问。在中型或大型组织设置前端服务器可以使特定的Exchange任务能够集中在有限的几台服务器上，从而使Exchange更为灵活。在Exchange Server 2007中，基于角色的部署功能进行了扩展，用户可以将预定义的角色指定给特定的服务器。这些预定义的角色使组织可以控制邮件流程，提高安全性以及在不同的服务器直接分配服务，如下图所示。图1: Exchange Server 2007服务器角色3) 存储组和信息存储Exchange Server 2007企业版单台服务器支持最多达50个存储组和50个数据库。用户可以设置每个存储组5个数据库，最多可以设置50个数据库。相比与更早版本的Exchange Server，现在的邮箱数据可以分布到更多数据库中，邮箱数据库可以分布到更多存储组中。Exchange Server标准版每台服务器最多可以支持5个存储组和5个数据库。与早期版本的Exchange Server不同，Exchange Server 2007企业版和标准版的数据库大小都只受存储容量大小的限制。4) 64位的优势在过去的几年中，Exchange邮件服务器 的邮箱数量和平均邮箱大小都有了很大的增长。这包括多方面的原因整合的Exchange 5.5站点，硬件更便宜了，广域网带宽更便宜了，增加了的信息存储大小限制,用户发送了更多的电子邮件。由于所有这些甚至更多的原因，大量的组织开始用更少数量的大型服务器提供集中的邮件服务来代替原来采用的通过较多的较小的服务器来提供分布式的邮件服务。这种策略可以获得一些成本和管理上的效益，但随着越来越多的用户在越来越少的服务器上，在某些时候性能就成了一个问题。 64位的数字32位 = 232 或4 GB可寻址内存64位 = 264 或16 EB可寻址内存通过分配给Exchange Server更多的资源，使用64位硬件和操作系统可以极大地提高Exchanege 的增强的性能和可扩展性。早先的32位的体系结构最大只允许4GB的寻址空间，而且是在内核和应用程序之间分配。将服务器和硬件的体系结构升级到64位可以使操作系统的最大寻址空间达到16EB。（目前硬件的限制在16GB到64GB RAM之间）。一个64位的处理器也可以获得更多的缓存，内部寄存器是32位处理器寄存器的两倍，这使得像Exchange这样的应用程序可以通过将将更多部分的应用程序驻留在处理器上来获得性能的极大提升并使Exchange服务器可以随着信息需求的增长而一起增长。64位对性能有显著影响的另一个地方是减少了每秒输入/输出操作数（IOPS）。带有大型数据库的32位Exchange服务器如果没有正确设置磁盘子系统会引发高的IOPS。这使得人们只能按性能而不是按容量来设计存储子系统。早期的测试显示运行在64位硬件上的Exchange Server 2007需要的IOPS比运行在相同硬件上的Exchange Server 2003大约要少75%。换一个角度来看如果要达到相同的性能，Exchange Server 2007需要的磁盘数量是Exchange Server 2003的四分之一。这说明Exchange Server 2007比更早版本的Exchange支持更多、更大的数据库。这也意味着磁盘子系统的设计可以按照容量和性能需求来设计。9.1.2 新特性和功能Exchange Server 2007增加了许多新的特性和功能；绝大多数的组织都可以从Exchange Server 2007中找到一些对自己的环境和需求非常有用的功能。作为一个独立的产品，Exchange Server 2007进行了大量重要的改进，它使得管理员可以通过功能更为强大的新工具来完成他们的工作，使得用户可以通过更多的方式来连接到自己的包含了更多的重要信息的企业邮箱。1) 全面抵御外界威胁商业电子邮件用户面临的主要威胁来自于组织之外那些不请自来的电子邮件。微软提供了两种不同的但却有相同效果的方式来保护用户免受这一实际威胁在企业环境内部署和维护的反垃圾与反病毒保护和托管的反垃圾与反病毒保护。在自身对垃圾邮件和病毒的防护上，Exchange Server 2007采取了一些方法来最小化有害的电子邮件和带有病毒的信息。2) 使用户的用户远离垃圾邮件Exchange Server 2007扩展了早先版本Exchange的反垃圾邮件功能提供了多层保护措施，以多种不同的方式来阻止垃圾邮件。主要包括：安全发件人集合. 为了减少将合法邮件误判为垃圾邮件的概率，Outlook用户创建的安全发件人列表会传送到中心传输服务器，然后再传送到边缘传输服务器（在DMZ区中），来自这些用户的消息将会被直接路由进入组织。Outlook电子邮戳. Outlook 2007可以为每一封邮件创建一个问题和答案，这称为邮戳，它被附加到每一封要发出的邮件中。邮戳的创建和解密需要花费一定的CPU周期。垃圾邮件发送者通常没有时间或计算资源来把每一个复杂的问题和答案附加到数千封要发出的邮件中，所以他们不会使用问题和答案。因此，当Exchange接收到一封带有邮戳的邮件时，Exchange会通过验证它的问题和答案来判断邮件是否是垃圾邮件。邮戳越复杂，邮件是垃圾邮件的可能性就越小。垃圾邮件隔离. 除了Outlook和OWA客户端带的Outlook垃圾邮件隔离功能外，现在管理员可以复查并隔离可疑的垃圾邮件。然后从隔离的邮件中删除或释放用户的邮件。发件人的信誉. 发件人的信誉是动态分析并更新的。当边缘服务器侦测到来自某一域的相应趋势时，它会采取具体的行动来处理，包括隔离信息或拒绝信息进入企业内网。边缘服务器上的内容过滤. 当垃圾邮件发送者改变策略并使用新的方法来避免被检测时，这时垃圾邮件内容过滤器会自动更新来保持对垃圾邮件的控制，因此它可以保护用户的组织，而不会增加用户的工作量。Microsoft Forefront for Exchange. 除了提供下述的全面的病毒保护功能，该服务每天都会会对病毒信号，IP信誉服务和反垃圾过滤器进行数次更新。3) 使用户的用户远离病毒对于用户自行管理和维护的病毒防护，反病毒软件提供商和客户可以从Exchange Server 2007提供的新的传输代理API中获益。通过该API，软件提供商可以编写反病毒代理来与Exchange内建的传输代理直接交互。因为信息是通过边缘传输服务器或中心传输服务器进入组织的，传输服务器可以调用反病毒代理来检查信息并过滤那些包含病毒的信息。图3: 使用Microsoft Forefront Security对Exchange Server进行防病毒保护除了这一增强的可编程性，Exchange Server 2007还提供了一个全面的反病毒解决方案。Exchange Server的Forefront Security /forefront/default.mspx; Forefront Security是Exchange企业许可证的一个特性。为Exchange边缘传输角色、中心传输角色和邮箱角色提供了全面的病毒保护功能。Exchange Server的Forefront Security使用带有内容过滤功能的多重扫描引擎，提供了层次化的保护来抵御带有病毒的信息。4) 在垃圾邮件和病毒到达用户的组织之前进行防护微软还可以通过微软Exchange Hosted Filtering服务为用户的组织提供反垃圾和反电子邮件病毒保护。该服务是微软Exchange Hosted Services服务套件的一部分，通过Exchange Hosted Filtering服务，用户可以获得与使用了带有Forefront Security的边缘服务器同样的效益，但是对这些服务的管理是由微软来完成的。在信息到达用户的组织之前会对它们进行垃圾邮件和病毒的清理。图4: S使用微软Exchange Hosted Filtering服务进行反垃圾保护Exchange Hosted Filtering使用多重过滤为用户的企业提供 主动保护，使企业远离垃圾邮件、病毒、仿冒和违规的电子邮件的影响。9.1.3 简化的信息安全性与早些版本的Exchange一样，