局域网络中的邮件服务器exchange如何与互联网进行邮件份的互通。。。。

使用ISA RPC Filter发布Exchange RPC 我们都知道如果在公网上直接发布RPC端口是非常危险的，但是我们的一些漫游客户希望可以使用Outlook MAPI Client连接到Exchange Server。虽然你可以让他们使用OWA进行操作，但是还是有一些功能不能够被使用，现在有了ISA RPC Filtere为我们安全的发布Exchange RPC提供很到了解决方案。

一、 ISA RPC Filter的工作原理

在我们发布Exchange RPC之前先了解一下，ISA RPC Filter是如何使Exchange RPC连接变得安全的。

首先使用TCP 135端口Outlook 建立一个连接到ISA的公网接口，请求与Exchange Server进行连接。而后ISA RPC Filter截取到这个请求，将其转发到内网的Exchange Server上。

当Exchange Server收到ISA RPC Filter转发的这个请求的时候，会响应这个请求，并返回一个端口号，使Outlook Client可以发送消息。如果没有ISA RPC Filter的话，现在Outlook Client就可以和Exchange Server进行通讯了，但是现在有了ISA RPC Filter它将会捕获这个请求，并同时建立一个Dynamic Packet Filter在它的公网接口上，这个Dynamic Packet Filter将在ISA公网接口上分配一个只有Outlook Client才可以连接的端口。这时ISA会建立了一个从Exchange Server截获的端口到Dynamic Packet Filter建立端口的映射。Outlook Client将从这个映射的端口收到信件。另外，当Outlook登陆到Exchange的时候会注册一个可以从Exchange收发新邮件的新端口，这时ISA RPC Filter会故技重施按照上面的逻辑在进行映射。这时Outlook Client会收到被ISA映射过的端口，通过这个端口进行连接并收发新邮件。

这种描述可能理解上有些困难，看一下这张图可能会比较好理解。

图一：ISA RPC Filter 原理

从上面的原理可以看出来，所有的RPC通讯都被ISA RPC Filter严格的进行监管，只允许和Exchange Server的通讯有关的数据包通过，这就保证了RPC的通讯安全。

二、 为发布Exchange RPC配置协议

在配置Exchange 2000 RPC发布规则之前，请先确认DNS Query（UDP 53）、DNS Zone Transfer（TCP 53）和SMTP（TCP 25）这几个端口可以被使用。

1、 首先需要创建一个允许Microsoft Outlook MAPI客户端，使135端口可以通过防火墙。展开“Access Policy”在“Protocol Rules”上面点击右键，选择“New”“Rule”

在新出现的新建规则向导设置为：

Name: Exchange Outlook MAPI

Action: allow

Applies to the following protocols: Selected Porlocols RPC

Schedile: Always

Apple the rule to request from: Any request

2、 在创建exchange RPC发布规则之前，你要先确定你的RPC Filter是启用状态，如果你的RPC Filter是禁用的，你将无法从Protocol Definition中找到Exchange RPC Server协议。打开RPC Filter方法是展开“Extensions”选择“Application Filters”，在右边选择“RPC filter”右键选择启用。在确认启用“RPC filter”后，创建一个Exchange RPC Publishing规则，展开“Publishing”在“Server Publishing Rule”点击右键选择“NEW”“Rule”

在新出现的新建规则向导设置为：

name: exchange MAPI Publishing

Internal IP: exchange 内网IP地址

External IP: 将要发布的公网IP地址

Protocol: Exchange RPC Server

Applies to requests from: Any Request

配置完成后，重新启动Firewall Service，这时测试一下你的135端口是否真的打开了，使用另外一台电脑使用拨号上网，由于是测试一定要使用比较简单的网络结构，尽量减少其他网络因素影响如：NAT,防火墙等。使用telnet External IP 135，如果提示“无法连接”，你就要找找其他的地方有什么问题，比如，前一段时间的冲击波病毒，导致很多ISP都关闭了135端口，你可以和你的专线提供商联系一下，如果你有路由或者其他防火墙有没有关闭135端口等。

三、 为发布Exchange RPC 配置身份验证

当Outlook Client登陆到Exchange 的时候，Exchange会要求Outlook Client到Active Directory去验证身份，但是Active Directory无法直接验证远程主机，所以你要配置由Exchange Server代理Outlook Client 向Active Directory进行身份验证。

具体方法是，打开Exchange Server上的注册表找到：

“HKLM\System\CurrentControlSet\Services\MSEchangeSA\Paramenters”

添加一个子键：

Value: No RFR Service 注意大小写

Type: REG_DWORD

Data: 1

添加完成后重新启动Exchange Server

四、 为发布exchange RPC配置DNS

对DNS配置是很多网络管理员都会忽略的问题，当你在Outlook MAPI Client配置Exchange账号，并成功的“检查名称”之后，你会发现你服务器的地址栏上变成了你Exchange Server的NETBIOS名称。这时你再使用Outlook MAPI Client连接Exchange Server的时候，Outlook MAPI Client已经开始使用Exchange Server 的NETBIOS名称在公网上进行查询。所以很多人在配置完成Exchange账号的时候，可以正确“检查名称”，但是在使用Outlook MAPI Client 进行收信的时候会提示连接失败。

在知道原因后介绍一下解决办法，一般企业的DNS会配置为两种方案一种是使用Split-Brain DNS，另一种是企业使用的内外网的DNS名称不一致。我们来分别介绍一下这两种类型的DNS如何配置。

如果你的公司使用的是Split-Brain DNS。你将有两个DNS区域使用相同的域名，这是你只需要在你的公网的DNS区域添加一个Exchange Server Computer Name为名称的主机（A）记录。使得你的内网和外网Outlook MAPI Client在都可以使用Exchange Computer Name正确解析到你的Exchange Server。

例如：你的内网的Exchange Server的名称是maildomaincom并指向一个你内网的IP地址，那么需要保证你的外网DNS区域也可以解析maildomaincom名称，并且该域名应该指向你的Exchange RPC Publishing rule里设置的IP地址上。

如果你的公司使用的是内外网不一致的域名，那么你就需要在你的外网的DNS区域添加一个以你的exchange server 的NETBIOS名称为主机名的主机（A）记录，你保证你的外网的Outlook MAPI Client可以正确的使用NETBIOS名称，解析到你的exchange server的地址。

五、 配置Outlook MAPI客户端

在创建账号的问题上我相信大家不会有任何问题，在这里我只说一下DNS配置的问题，在前面我们说过Outlook MAPI Client的Excahnge账号在“检查名称”后，Outlook MAPI Client将使用EXCHANGE SERVER的NETBIOS在公网进行查询。这时就会出现问题，因为NETBIOS名称不能够在公网上被解析，你必须自己配置连接的主要DNS后缀以保证你的Outlook mapi客户端可以通过NETBIOS解析到你的Exchange Server。在Windows 2000 Pro/Windows XP增加主要DNS后缀有很多方法，我在这里只介绍一种

打开“拨号网络和连接”，找到你使用的“连接”，右健属性，打开TCP/IP协议的属性，选择高级，在TCP/IP协议的高级设置对话框中，选择DNS选项卡，在DNS BUFFIX FOR THIS CONNECTION中填入你的公网的DNS区域名称。

图二：注意红色部分，在里面填入你的公网域名。

完成后在命令行模式中使用ping命令测试以下，如果可以使用netbios名称正确的解析到你的exchange server的地址就可以了。

现在你就可以使用outlook client连接你的exchange安全的进行收信了，如有其他疑问可以发邮件联系我 bjtangseng@gmailcom，我会尽力解答的。

1安装和配置一个防火墙

一个配置适当的防火墙不仅是系统有效应对外部攻击的第一道防线，也是最重要的一道防线。在新系统第一次连接上Internet之前，防火墙就应该被安装并且配置好。防火墙配置成拒绝接收所有数据包，然后再打开允许接收的数据包，将有利于系统的安全。Linux为我们提供了一个非常优秀的防火墙工具，它就是netfilter/iptables。它完全是免费的，并且可以在一台低配置的老机器上很好地运行。防火墙的具体设置方法请参见iptables使用方法。

2、关闭无用的服务和端口

任何网络连接都是通过开放的应用端口来实现的。如果我们尽可能少地开放端口，就使网络攻击变成无源之水，从而大大减少了攻击者成功的机会。把Linux作为专用服务器是个明智的举措。例如，希望Linux成为的Web服务器，可以取消系统内所有非必要的服务，只开启必要服务。这样做可以尽量减少后门，降低隐患，而且可以合理分配系统资源，提高整机性能。以下是几个不常用的服务：

① fingerd（finger服务器）报告指定用户的个人信息，包括用户名、真实姓名、shell、目录和****，它将使系统暴露在不受欢迎的情报收集活动下，应避免启动此服务。

② R服务（rshd、rlogin、rwhod、rexec）提供各种级别的命令，它们可以在远程主机上运行或与远程主机交互，在封闭的网络环境中登录而不再要求输入用户名和口令，相当方便。然而在公共服务器上就会暴露问题，导致安全威胁。

3、删除不用的软件包

在进行系统规划时，总的原则是将不需要的服务一律去掉。默认的Linux就是一个强大的系统，运行了很多的服务。但有许多服务是不需要的，很容易引起安全风险。这个文件就是/etc/xinetdconf，它制定了/usr/sbin/xinetd将要监听的服务，你可能只需要其中的一个：ftp，其它的类如telnet、shell、login、exec、talk、ntalk、imap、finger、auth等，除非你真的想用它，否则统统关闭。

4、不设置缺省路由

在主机中，应该严格禁止设置缺省路由，即default route。建议为每一个子网或网段设置一个路由，否则其它机器就可能通过一定方式访问该主机。

5、口令管理

口令的长度一般不要少于8个字符，口令的组成应以无规则的大小写字母、数字和符号相结合，严格避免用英语单词或词组等设置口令，而且各用户的口令应该养成定期更换的习惯。另外，口令的保护还涉及到对/etc/passwd和/etc/shadow文件的保护，必须做到只有系统管理员才能访问这2个文件。安装一个口令过滤工具加npasswd，能帮你检查你的口令是否耐得住攻击。如果你以前没有安装此类的工具，建议你现在马上安装。如果你是系统管理员，你的系统中又没有安装口令过滤工具，请你马上检查所有用户的口令是否能被穷尽搜索到，即对你的／ect／passwd文件实施穷尽搜索攻击。用单词作密码是根本架不住暴力攻击的。黑客们经常用一些常用字来破解密码。曾经有一位美国黑客表示，只要用“password”这个字，就可以打开全美多数的计算机。其它常用的单词还有：account、ald、alpha、beta、computer、dead、demo、dollar、games、bod、hello、help、intro、kill、love、no、ok、okay、please、sex、secret、superuser、system、test、work、yes等。

密码设置和原则：

a足够长，指头只要多动一下为密码加一位，就可以让攻击者的辛苦增加十倍;

b 不要用完整的单词，尽可能包括数字、标点符号和特殊字符等;

c混用大小写字符;

d经常修改。

6、分区管理

一个潜在的攻击，它首先就会尝试缓冲区溢出。在过去的几年中，以缓冲区溢出为类型的安全漏洞是最为常见的一种形式了。更为严重的是，缓冲区溢出漏洞占了远程网络攻击的绝大多数，这种攻击可以轻易使得一个匿名的Internet用户有机会获得一台主机的部分或全部的控制权！。

为了防止此类攻击，我们从安装系统时就应该注意。如果用root分区记录数据，如log文件，就可能因为拒绝服务产生大量日志或垃圾邮件，从而导致系统崩溃。所以建议为/var开辟单独的分区，用来存放日志和邮件，以避免root分区被溢出。最好为特殊的应用程序单独开一个分区，特别是可以产生大量日志的程序，还建议为/home单独分一个区，这样他们就不能填满/分区了，从而就避免了部分针对Linux分区溢出的恶意攻击。

很多Linux桌面用户往往是使用Windows、Linux双系统。最好使用双硬盘。方法如下：首先将主硬盘的数据线拆下，找一个10GB左右的硬盘挂在计算机上，将小硬盘设置为从盘，按照平常的操作安装Linux服务器版本，除了启动的引导程序放在MBR外，其它没有区别。 安装完成，调试出桌面后，关闭计算机。将小硬盘的数据线拆下，装上原硬盘，并设定为主盘（这是为了原硬盘和小硬盘同时挂接在一个数据线上），然后安装Windows软件。将两个硬盘都挂在数据线上，数据线是IDE 0接口，将原硬盘设定为主盘，小硬盘设定为从盘。如果要从原硬盘启动，就在CMOS里将启动的顺序设定为“C、D、CDROM”，或者是“IDE0(HDD-0)”。这样计算机启动的时候，进入Windows界面。如果要从小硬盘启动，就将启动顺序改为“D、C、CDROM”，或者是“IDE1(HDD-1)”，启动之后，将进入Linux界面。平时两个操作系统是互相不能够访问的。

7、防范网络嗅探：

嗅探器技术被广泛应用于网络维护和管理方面，它工作的时候就像一部被动声纳，默默的接收看来自网络的各种信息，通过对这些数据的分析，网络管理员可以深入了解网络当前的运行状况，以便找出网络中的漏洞。在网络安全日益被注意的今天我们不但要正确使用嗅探器还要合理防范嗅探器的危害嗅探器能够造成很大的安全危害，主要是因为它们不容易被发现。对于一个安全性能要求很严格的企业，同时使用安全的拓扑结构、会话加密、使用静态的ARP地址是有必要的。

8、完整的日志管理

日志文件时刻为你记录着你的系统的运行情况。当黑客光临时，也不能逃脱日志的法眼。所以黑客往往在攻击时修改日志文件，来隐藏踪迹。因此我们要限制对／var／log文件的访问，禁止一般权限的用户去查看日志文件。

另外要使用日志服务器。将客户机的日志信息保存副本是好主意，创建一台服务器专门存放日志文件，可以通过检查日志来发现问题。修改/etc/sysconfig/syslog文件加入接受远程日志记录。

/etc/sysconfig/syslog SYSLOGD_OPTIONS="-m r 0"

还应该设定日志远程保存。修改/etc/syslogconf文件加入日志服务器的设置，syslog将保存副本在日志服务器上。

/etc/syslogconf @log_server_IP

可以使用彩色日志过滤器。彩色日志loco过滤器，目前版本是032。使用loco /var/log/messages | more可以显示出彩色的日志，明显标记出root的位置和日志中异常的命令。这样可以减少分析日志时人为遗漏。还要进行日志的定期检查。Red Hat Linux中提供了logwatch工具，定期自动检查日志并发送邮件到管理员信箱。需要修改/etc/logd/conf/ logwatchconf文件，在MailTo = root参数后增加管理员的邮件地址。Logwatch会定期检查日志，过滤有关使用root、sudo、telnet、ftp登录等信息，协助管理员分析日常安全。完整的日志管理要包括网络数据的正确性、有效性、合法性。对日志文件的分析还可以预防入侵。例如、某一个用户几小时内的20次的注册失败记录，很可能是入侵者正在尝试该用户的口令。

9、终止正进行的攻击

假如你在检查日志文件时，发现了一个用户从你未知的主机登录，而且你确定此用户在这台主机上没有账号，此时你可能正被攻击。首先你要马上锁住此账号(在口令文件或shadow文件中，此用户的口令前加一个Ib或其他的字符)。若攻击者已经连接到系统，你应马上断开主机与网络的物理连接。如有可能，你还要进一步查看此用户的历史记录，查看其他用户是否也被假冒，攻击音是否拥有根权限。杀掉此用户的所有进程并把此主机的ip地址掩码加到文件hostsdeny中。

10、使用安全工具软件：

Linux已经有一些工具可以保障服务器的安全。如bastille linux和Selinux。 bastille linux对于不熟悉 linux 安全设定的使用者来说，是一套相当方便的软件，bastille linux 目的是希望在已经存在的 linux 系统上，建构出一个安全性的环境。增强安全性的Linux（SELinux）是美国安全部的一个研发项目，它的目的在于增强开发代码的Linux内核，以提供更强的保护措施，防止一些关于安全方面的应用程序走弯路，减轻恶意软件带来的灾难。普通的Linux系统的安全性是依赖内核的，这个依赖是通过setuid/setgid产生的。在传统的安全机制下，暴露了一些应用授权问题、配置问题或进程运行造成整个系统的安全问题。这些问题在现在的操作系统中都存在，这是由于他们的复杂性和与其它程序的互用性造成的。SELinux只单单依赖于系统的内核和安全配置政策。一旦你正确配置了系统，不正常的应用程序配置或错误将只返回错误给用户的程序和它的系统后台程序。其它用户程序的安全性和他们的后台程序仍然可以正常运行，并保持着它们的安全系统结构。用简单一点的话说就是：没有任何的程序配置错误可以造成整个系统的崩溃。安装SELinux SELinux的内核、工具、程序/工具包，还有文档都可以到增强安全性的Linux网站上上下载你必须有一个已经存在的Linux系统来编译你的新内核，这样才能访问没有更改的系统补丁包。

11使用保留IP地址

维护网络安全性最简单的方法是保证网络中的主机不同外界接触。最基本的方法是与公共网络隔离。然而，这种通过隔离达到的安全性策略在许多情况下是不能接受的。这时，使用保留IP地址是一种简单可行的方法，它可以让用户访问Internet同时保证一定的安全性。- RFC 1918规定了能够用于本地 TCP/IP网络使用的IP地址范围，这些IP地址不会在Internet上路由，因此不必注册这些地址。通过在该范围分配IP地址，可以有效地将网络流量限制在本地网络内。这是一种拒绝外部计算机访问而允许内部计算机互联的快速有效的方法。 保留IP地址范围:

---- 1000 0 - 10255255255

---- 1721600 - 17231255255

--- 19216800 - 192168255255。

来自保留IP地址的网络交通不会经过Internet路由器，因此被赋予保留IP地址的任何计算机不能从外部网络访问。但是，这种方法同时也不允许用户访问外部网络。IP伪装可以解决这一问题。

12、合理选择Linux发行版本：

对于服务器使用的Linux版本，既不使用最新的发行版本，也不选择太老的版本。应当使用比较成熟的版本：前一个产品的最后发行版本如RHEL 30等。毕竟对于服务器来说安全稳定是第一的。

13、部署Linux防范病毒软件

Linux操作系统一直被认为是Windows系统的劲敌，因为它不仅安全、稳定、成本低，而且很少发现有病毒传播。但是，随着越来越多的服务器、工作站和个人电脑使用Linux软件，电脑病毒制造者也开始攻击这一系统。对于Linux系统无论是服务器，还是工作站的安全性和权限控制都是比较强大的，这主要得力于其优秀的技术设计，不仅使它的作业系统难以宕机，而且也使其难以被滥用。Unix经过20多年的发展和完善，已经变得非常坚固，而Linux基本上继承了它的优点。在Linux里，如果不是超级用户，那么恶意感染系统文件的程序将很难得逞。速客一号(Slammer)、冲击波(Blast)、霸王虫(Sobig)、 米虫(Mimail)、劳拉（Win32Xorala）病毒等恶性程序虽然不会损坏Linux服务器，但是却会传播给访问它的Windows系统平台的计算机。

是本地计算机的意思。

如果本地安装了服务器软件的话，在浏览器地址栏输入http://localhost 就会进入本地服务器

local host

本地 主机

Loco***关闭是响应国家的要求。根据《工业和信息化部关于清理规范互联网网络接入服务市场的通知》要求：各基础电信企业、互联网网络接入服务企业要全面自查，未经电信主管部门批准，不得自行建立或租用专线（含虚拟专用网络***）等其他信道开展跨境经营活动。

本次清理规范工作将在以下三方面开展重点工作：

一是加强资质管理，重点查处无证经营和超范围经营等非法经营行为，督促企业合法持证开展经营活动；

二是严格资源管理，重点打击“层层转租”等违规行为，清理网络接入服务市场存在的“黑带宽”、“下水道”；

三是落实相关要求，夯实管理基础，推动接入服务企业加强技术手段建设，完成各项评测工作。

扩展资料：

近年来，我国云计算、大数据等应用蓬勃发展，以互联网数据中心业务（IDC）、互联网接入服务业务（ISP）和内容分发网络业务（CDN）为代表的互联网网络接入服务市场面临难得的发展机遇，但无证经营、无序发展的苗头也随之显现，层层转租、违规自建网络基础设施等带来的“黑带宽”、“下水道”等问题不容忽视，既破坏了正常的市场秩序，损害了广大用户的合法权益，也给国家网络和信息安全带来隐患。

在此背景下，工信部出台了《关于清理规范互联网网络接入服务市场的通知》，在全国范围内开展清理规范工作，依法查处无证经营、超范围经营、“层层转租”等违法行为，切实落实企业主体责任，加强经营许可和接入资源的管理，强化网络信息安全管理，维护公平有序的市场秩序，促进行业健康发展。

人民网-工信部整顿互联网接入服务未经批准不得自建或租用***

人民网-工信部回应网民***等使用问题

电脑打不开loco加速器可以尝试通过以下几种方法解决：

1、尝试更换网络线路和登录模式，轮流尝试PPTP、L2TP、IKEV2、Open***，有的网络环境不支持某些连接协议。

2、尝试退出安全管家、安全卫士等防火墙软件，或者取消防火墙限制，可能是软件误拦截。

3、尝试重启电脑和路由器、光猫等网络设备，恢复网络初始状态。

4、可以使用网络修复工具，修复一下本地网络，包括网络重置、强力修复、LSP修复等。

5、如果尝试上面方法仍然不能打开加速器，建议上报错误信息，联系客服解决。