Exchange 2007 CAS - ISA Server 相对于转发端口 443 的优势

使用 ISA 服务器作为反向代理的主要优势在于安全性，但是如果您要发布多个应用程序，那么这样做当然更有意义；如果您只需要让您的 Exchange CAS 服务器可从外部使用，那么购买、实施和管理 ISA 可能就有点小题大做了。

使用 ISA 而不是简单地转发 TCP 端口 443 具有以下优点：

• 预认证。用户可以通过 ISA 服务器本身进行身份验证，然后只有身份验证成功后，请求才会转发到实际发布的服务器；这样可以阻止未经身份验证的用户试图篡改您的 Web 应用程序，从而避免应用程序登录时可能出现的错误。
• HTTP 过滤。标准 HTTPS 连接无需任何分析即可通过网络防火墙，因为流量当然是加密的；使用 ISA，HTTPS 连接从客户端到 ISA 代理，然后由 ISA 重新打开到 Web 服务器，从而允许 ISA 检查和清理实际的 HTTP 流量；这禁止对您发布的应用程序发出“奇怪”的请求，从而避免出现大量应用程序错误（缓冲区溢出等）。
• URL 过滤。如果您向内部 Web 服务器开放 TCP 端口 80 和/或 443，客户端可以向 Web 服务器请求任何它想要的内容（域、站点、路径、文件等）；ISA Server 可以配置为仅接受某些 URL，因此如果您有一个 Web 服务器托管多个站点，或者一些仅供内部使用的网站，或者一些私人存储区域等，您可以确保只有像“https://webmail.mydomain.com/owa” 即可达到。
• HTTPS 重定向。好吧，这不是什么大问题，但是说到 URL，有多少用户忘记在“HTTP”后面加上“s”？您可以使用 ISA 自动将 HTTP 流量重定向到 HTTPS。
• 负载均衡如果您为同一应用程序配备了多个 Web 服务器，ISA Server 可以将它们作为单个已发布的 Web 站点进行负载平衡，而无需硬件或软件网络负载平衡器；这种负载平衡也发生在 HTTP 级别而不是 TCP 级别，因此它可以更好地管理客户端会话。
• 所有其他 ISA 服务器功能。当然。但不要忽视它们。您可以配置您的 Web 发布规则，以仅允许某些用户、仅在特定时间、仅来自特定 IP 范围等；您还可以在单​​个外部 IP 地址上发布许多内部 Web 服务器等；实施 ISA 后，除了发布 Exchange CAS 服务器之外，您还可以使用 ISA 做很多事情。

我个人在 2004 版发布后不久就停止使用 ISA。虽然功能和与 MS 产品集成的“便利性”是一个优点，但如果配置正确，现有的硬件防火墙也可以同样安全。

我发现混合中的 ISA 只是增加了另一层复杂性，并且实际上也带来了一点点速度缓慢。

因此，我的建议是使用 MIP（映射 IP）下行到 CAS 服务器，仅为角色提供所需的端口（80/443 等）。

我听到的说法是，在中间使用 ISA 可以防止人们试图入侵您的 CAS 服务器，但是，如果您的 CAS 服务器设置良好，尤其是在所有设置和运行之后您在 CAS 服务器上使用适用于 Windows 的 SCW，那么您真的不需要再担心任何安全性问题，就像在中间使用 ISA 一样。

现在...Shinder 博士和其他人会强烈反对并敦促您安装 ISA 盒，但我觉得有趣的是，除了“Windows 管理员”之外的大多数网络/防火墙专家根本不使用它们...这说明了一些问题。

ISA 的部署成本很高，如果您仅将其用于入站连接，那么它实际上没有多大意义。

缓存 1000 个用户的出站请求非常有意义，尤其是对于 Google、MSN、门户等高流量页面。但对于入站请求，您可以以更少的成本获得同样好的效果。

正如 TheCleaner 提到的，您可以很好地锁定您的 Web 服务器/CAS，无论它是 Windows 还是 *nix。

不过询问 SSL 是明智的。每个 SSL 都需要有自己的 IP 地址 - 原因是您的边缘设备将无法解密任何主机标头，因此您需要将 SSL IP 上的任何请求映射到 CAS 上的特定 IP 地址，以便 CAS 知道要使用哪个证书。

基本总结：如果你已经拥有一个好的边缘设备，就不用担心。如果没有，那么普富思配置时间不会比 ISA 更长，占用空间更小（可以在具有 128Mb RAM 的 VM 中顺利运行），并且您不需要许可 Windows 并为 ISA 支付额外的许可证。