Exchange 2007 CAS - ISA Server 相对于转发端口 443 的优势

Exchange 2007 CAS - ISA Server 相对于转发端口 443 的优势

我正在将 Exchange 2007 部署到现有的 Exchange 2003 环境中。Microsoft 不支持将 Exchange 2007 客户端访问服务器 (CAS) 放置在外围/DMZ 网络中。相反,Microsoft 建议将 ISA 服务器放置在外围/DMZ 网络中,并使用它来将代理请求反向发送到 CAS 服务器。

与将端口 443 从外部网络通过外围/DMZ 转发到内部网络上的 CAS 服务器相比,使用 ISA 服务器作为反向代理有什么优势?如果我转发端口,是否会遇到 SSL 证书问题?是否还有其他端口需要转发?

更新: 我发现以下两个优点这里

当您通过 ISA Server 发布应用程序时,您可以保护服务器免受外部直接访问,因为用户无法访问服务器的名称和 IP 地址。用户访问 ISA Server 计算机,然后根据服务器发布规则的条件将请求转发到服务器。

SSL 桥接可防止隐藏在 SSL 加密连接中的攻击。对于启用 SSL 的 Web 应用程序,在收到客户端的请求后,ISA Server 会对其进行解密、检查,然后终止与客户端计算机的 SSL 连接。Web 发布规则决定 ISA Server 如何将对象请求传达给已发布的 Web 服务器。如果安全 Web 发布规则配置为使用安全 HTTP (HTTPS) 转发请求,则 ISA Server 将与已发布的服务器建立新的 SSL 连接。由于 ISA Server 计算机现在是 SSL 客户端,因此它要求已发布的 Web 服务器使用服务器端证书进行响应。

在问题的第二部分中添加,这些是否有理由购买第二台服务器、许可、设置、故障排除等。您如何在您的环境中做到这一点,特别是在小型(<200 个用户)环境中?

答案1

使用 ISA 服务器作为反向代理的主要优势在于安全性,但是如果您要发布多个应用程序,那么这样做当然更有意义;如果您只需要让您的 Exchange CAS 服务器可从外部使用,那么购买、实施和管理 ISA 可能就有点小题大做了。

使用 ISA 而不是简单地转发 TCP 端口 443 具有以下优点:

  • 预认证。用户可以通过 ISA 服务器本身进行身份验证,然后只有身份验证成功后,请求才会转发到实际发布的服务器;这样可以阻止未经身份验证的用户试图篡改您的 Web 应用程序,从而避免应用程序登录时可能出现的错误。
  • HTTP 过滤。标准 HTTPS 连接无需任何分析即可通过网络防火墙,因为流量当然是加密的;使用 ISA,HTTPS 连接从客户端到 ISA 代理,然后由 ISA 重新打开到 Web 服务器,从而允许 ISA 检查和清理实际的 HTTP 流量;这禁止对您发布的应用程序发出“奇怪”的请求,从而避免出现大量应用程序错误(缓冲区溢出等)。
  • URL 过滤。如果您向内部 Web 服务器开放 TCP 端口 80 和/或 443,客户端可以向 Web 服务器请求任何它想要的内容(域、站点、路径、文件等);ISA Server 可以配置为仅接受某些 URL,因此如果您有一个 Web 服务器托管多个站点,或者一些仅供内部使用的网站,或者一些私人存储区域等,您可以确保只有像“https://webmail.mydomain.com/owa” 即可达到。
  • HTTPS 重定向。好吧,这不是什么大问题,但是说到 URL,有多少用户忘记在“HTTP”后面加上“s”?您可以使用 ISA 自动将 HTTP 流量重定向到 HTTPS。
  • 负载均衡如果您为同一应用程序配备了多个 Web 服务器,ISA Server 可以将它们作为单个已发布的 Web 站点进行负载平衡,而无需硬件或软件网络负载平衡器;这种负载平衡也发生在 HTTP 级别而不是 TCP 级别,因此它可以更好地管理客户端会话。
  • 所有其他 ISA 服务器功能。当然。但不要忽视它们。您可以配置您的 Web 发布规则,以仅允许某些用户、仅在特定时间、仅来自特定 IP 范围等;您还可以在单​​个外部 IP 地址上发布许多内部 Web 服务器等;实施 ISA 后,除了发布 Exchange CAS 服务器之外,您还可以使用 ISA 做很多事情。

答案2

我个人在 2004 版发布后不久就停止使用 ISA。虽然功能和与 MS 产品集成的“便利性”是一个优点,但如果配置正确,现有的硬件防火墙也可以同样安全。

我发现混合中的 ISA 只是增加了另一层复杂性,并且实际上也带来了一点点速度缓慢。

因此,我的建议是使用 MIP(映射 IP)下行到 CAS 服务器,仅为角色提供所需的端口(80/443 等)。

我听到的说法是,在中间使用 ISA 可以防止人们试图入侵您的 CAS 服务器,但是,如果您的 CAS 服务器设置良好,尤其是在所有设置和运行之后您在 CAS 服务器上使用适用于 Windows 的 SCW,那么您真的不需要再担心任何安全性问题,就像在中间使用 ISA 一样。

现在...Shinder 博士和其他人会强烈反对并敦促您安装 ISA 盒,但我觉得有趣的是,除了“Windows 管理员”之外的大多数网络/防火墙专家根本不使用它们...这说明了一些问题。

答案3

ISA 的部署成本很高,如果您仅将其用于入站连接,那么它实际上没有多大意义。

缓存 1000 个用户的出站请求非常有意义,尤其是对于 Google、MSN、门户等高流量页面。但对于入站请求,您可以以更少的成本获得同样好的效果。

正如 TheCleaner 提到的,您可以很好地锁定您的 Web 服务器/CAS,无论它是 Windows 还是 *nix。

不过询问 SSL 是明智的。每个 SSL 都需要有自己的 IP 地址 - 原因是您的边缘设备将无法解密任何主机标头,因此您需要将 SSL IP 上的任何请求映射到 CAS 上的特定 IP 地址,以便 CAS 知道要使用哪个证书。

基本总结:如果你已经拥有一个好的边缘设备,就不用担心。如果没有,那么普富思配置时间不会比 ISA 更长,占用空间更小(可以在具有 128Mb RAM 的 VM 中顺利运行),并且您不需要许可 Windows 并为 ISA 支付额外的许可证。

相关内容