通过 Cisco ASA 5520 公开 Exchange 2010 OWA

通过 Cisco ASA 5520 公开 Exchange 2010 OWA

有没有人有过通过 Cisco ASA 公开 Exchange 2010 服务器的 Web 访问 (OWA) 的经验(我的目标是类似 DMZ 的东西)?如果有,您能给我一些建议吗?我知道 Exchange 不支持 DMZ,而 MS 建议使用 TMG。不过,我还是想知道是否有人成功做到了这一点(我试过,但到目前为止还不是很成功)。或者放弃(即:出售)ASA 并使用 TMG 服务器是否更好?我们完全使用 Windows Server 2008 R2 和一些剩余的 2003 服务器,主要作为文件服务器运行。我们目前不怎么使用 VPN 功能,但计划将来使用,但如果无法从外部使用 VPN,OWA 应该可用。

非常感谢!

答案1

不要放弃 ASA。TMG 在 ASA 的 DMZ 内非常容易管理。TMG 必须是双宿主的……也就是说,既要接入 DMZ 网络,又要接入内部网络。设置起来非常简单,而且 TMG 使将 OWA 发布到网络变得很容易。请记住,双宿主服务器只希望有一个默认网关,因此请注意这一点,否则可能会给您带来麻烦。

我精确地设置了这个场景并且它运行得非常好。

答案2

为了获得良好的安全性,您应该考虑在 DMZ 中使用 Microsoft ISA 服务器,并开放对 ISA 盒的外部访问,而不是直接访问您的 Exchange 盒。从 ISA 盒,您允许 http/https 连接回到您的 Exchange 服务器,并配置 ISA 以反向代理请求。ISA 还可以进行基于表单的身份验证,为用户提供更好的登录提示。

如果您不介意使用免费产品 Apache HTTPD(在 Linux 或 Windows 上)显然可以做到这一点,但标准的 Microsoft 解决方案是 ISA Server。

答案3

ASA 针对此场景的解决方案是“无客户端 SSL VPN”(又名“WebVPN”)。ASA 将运行 HTTPS 服务器并处理身份验证。然后它将 HTTP 反向代理回内部服务器,必要时使用 SSO。

这样做的好处是,您只向外界公开 ASA(而不是对您的邮件服务器的完全 HTTP 访问权限),并且只有在身份验证后才能获得“更深入”的访问权限。

它非常简洁,提供了很多功能(还有 SSH 和 RDP 小程序可用),但它需要额外的许可证。根据用户数量,这可能会使它成为一个不太有吸引力的选择(对我来说确实如此!)

相关内容