编者语：在本周六51CTO将会举办51CTO技术沙龙：Windows运维那些事儿，在当天微软MVP岳雷老师将会为大家讲解《关于Forefront TMG升级与运维的那些事儿》。目前沙龙报名正在进行中，假如有兴趣了解Forefront TMG的朋友可以报名参加。本次沙龙为免费参加，报名请点击此处

【51CTO精选译文】在本文中，你将学习如何借助Forefront TMG的先进功能来改善Exchange 2010的安全性。

构筑Exchange 2010的一大重要内容，就是让用户可以不受时间与空间的限制，随心所欲地收发邮件。对于你的用户而言，这一功能将大大简化他们的工作流程；然而对于作为管理员的你来说，这却意味着更大的工作量，因为你必须要确保Exchange Server免受来自企业之外网络的攻击。

我常常看到Exchange 2010借由允许各种端口访问的方式被直接发布到互联网上。无论如何，这种做法其实破坏了Forefront TMG的大部分安全功能。Forefront支持身份预验证，也就是说用户不必直接通过Exchange Server的身份验证，而是只要提前通过Forefront的验证就能登陆。而Forefront拥有接入Exchange服务器的最高权限。

这种方式提高了应对各种负面情况时的安全性；其优势之一是，你不必将Exchange直接发布到互联网上。而Forefront的另一安全保障特色是，它同时可以作为网页代理进行运作。这种运作方式的保护机制同样是基于身份预验证。任何人都无法从网络上查看你的Exchange Server，因为它一直处于防火墙的完全保护之下。

Forefront同样支持应对网页过滤器和电子邮件过滤器。当接入Exchange的申请受到SSL安全保护（SSL绝对是提供基本安全保障的必备工具），并且仅仅通过防火墙的检测后就抵达了Exchange，这些过滤器是无法正常生效的，因为它们所能读取到的只是经过加密的字节流。Forefront能与SSL桥接并协作，这意味着用户们仍然可以使用SSL来访问他们的电子邮件，只不过Forefront会对网络数据流进行监控。

在SSL桥接之后，用户可以建立由SSL至Forefront TMG的连接通道，而Forefront TMG则同时建立一个由SSL至Exchange的连接通道。这样一来，当通路关闭时Forefront就可以监控网络数据流。无论如何，即便SSL无法让用户直接与Exchange相连通，所有的网络数据流也始终处于SSL的保护之下。

在我开始着手介绍具体的设置步骤之前，我想先向大家展示一幅图片，它通过将整个网络体系的拓扑架构图形化来列举实践本篇指南文章的前提条件。对我来说网络拓朴结构非常简明，但它其实还可以进一步简化。Exchange 2010的访问服务客户端与电子邮箱服务是可以共存于一台服务器上的，没必要将它们分别安装在独立的主机上。

使用Forefront TMG来对Exchange 2010进行安全保护的前提条件

1. 能够正常运行的Exchange 2010并安装 Forefront TMG。

2. 你必须对Split-DNS进行配置，这意味着你要保证自己的内部网络与外部网络使用同一个域名。我用的域名是contoso.com，以下内容以此为例。

3. Outlook页面应用程序（简称OWA）、Outlook Anywhere以及Exchange ActiveSync都使用mail.contoso.com作为其正式域名。

4. 你还需要一份有效的认证。Mail.contoso.com必须是经过认证的主体，并且autodiscover.contoso.com必须被列入“Subject Alternative Name（主体备用名称）”当中。

如果大家能够满足以上几项前提条件，我们就可以在我的下一篇指南文章《分步指南：保障你的Exchange 2010 Server安全》中继续探讨Forefront TMG的使用。

原文地址：http://4sysops.com/archives/secure-your-exchange-2010-server-with-forefront-tmg-part-1/

【51CTO精选译文 未经允许谢绝转载 合作媒体转载请标明出处与作者】

【编辑推荐】

1. 执行 Exchange 2010 自定义安装
2. Exchange 2010 先决条件
3. Exchange 2010 系统要求
4. Exchange 2010迁移前的环境概述
5. 在 Exchange 2010 环境中安装 Exchange 2003/2007