服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Exchange 2007 CAS – ISA Server在转发端口443上的优势
Intereting Posts
Namerservers&A Records,我的困境最好的服务器设置是什么? Linux ThinClients在RDS服务器上显示MAC,但不显示IP 在Forge上负载平衡的Laravel应用程序configuration Apache + Event_MPM + FastCgiExternalServer + php5-fpm:php-fpm挂起emergency_restart_threshold不会重置 Apache RewriteMap TXTcaching – 更新不占用 从VPS(如EC2)发送电子邮件 如果fetchmail从雅虎获取垃圾邮件,如何处理这种情况,并且由于主机不存在,postfix不能传递 在一个系统上的2个版本的libssl Solaris 10 zloginlogin,立即注销 是否有一个Windows实用程序创build一个TCP服务器到服务器链接? OpenVPN – 路由传递给脚本时缺less环境variables 如何在非X CentOS VirtualBox guest上获取clipbpard共享 Microsoft Exchange服务器内存使用情况 HAProxy max在〜10,700连接 清除操作系统社区和数据包只在客户端计算机超时

Exchange 2007 CAS – ISA Server在转发端口443上的优势

我正在将Exchange 2007部署到现有的Exchange 2003环境中。 Microsoft不支持在外围/ DMZnetworking中放置Exchange 2007客户端访问服务器(CAS)。 微软build议在外围/ DMZnetworking中放置一个ISA服务器,并使用它来反向对CAS服务器的代理请求。

使用ISA服务器作为反向代理与从外部networking通过外围/ DMZ转发端口443到内部networking上的CAS服务器相比,有什么优势? 如果我转发端口,我会有SSL证书问题吗? 有其他端口需要转发吗?

更新:我在这里find了以下两个优点:

当通过ISA Server发布应用程序时,由于用户无法访问服务器的名称和IP地址,因此可以保护服务器免受外部直接访问。 用户访问ISA Server计算机,然后根据服务器发布规则的条件将请求转发到服务器。

SSL桥接可防止隐藏在SSLencryption连接中的攻击。 对于支持SSL的Web应用程序,ISA Server收到客户端的请求后,会对其进行解密,检查并终止与客户端计算机的SSL连接。 Web发布规则确定ISA Server如何将对象的请求传递到发布的Web服务器。 如果将安全Web发布规则configuration为使用安全HTTP(HTTPS)转发请求,则ISA Server将与发布的服务器启动新的SSL连接。 由于ISA Server计算机现在是SSL客户端,因此它要求发布的Web服务器使用服务器端证书进行响应。

在问题中增加第二部分,是否有理由购买第二台服务器,授权,设置和故障排除等。在您的环境中,特别是在小型(<200个用户)环境中,您是如何完成这项工作的?

使用ISA Server作为反向代理的主要优势在于安全性,但是如果您有多个应用程序可以发布,则更为合理。 如果您只需要从外部提供Exchange CAS服务器,那么购买,实施和pipe理ISA就有点矫枉过正。

使用ISA,而不是明确转发TCP端口443,提供以下优点:

  • 预authentication 。 用户可以通过ISA Server自身进行身份validation,然后只有在该身份validation成功时才会将请求转发到实际发布的服务器; 这会阻止未经validation的用户甚至试图篡改您的Web应用程序,从而避免在应用程序login中出现可能的错误。
  • HTTP过滤 。 标准的HTTPS连接stream经networking防火墙,根本不用分析,因为stream量当然是encryption的; 与ISA,HTTPS连接从客户端到ISA代理,然后由ISA重新打开到Web服务器,允许ISA检查和消毒实际的HTTPstream量; 这不允许对发布的应用程序进行“奇怪”的请求,从而避免了大量的应用程序错误(缓冲区溢出等)。
  • URL过滤 。 如果您打开TCP端口80和/或443到内部Web服务器,客户端可以向Web服务器询问任何想要的东西(域,站点,path,文件等)。 ISA服务器可以configuration为只接受某些URL,所以如果你有一个Web服务器托pipe多个网站,或一些内部网站,或一些私人存储区域等,你可以确定只有像“ https:/ /webmail.mydomain.com/owa “可以达到它。
  • HTTPSredirect 。 好的,这不是一个大问题,但是说到URL,有多less用户在“HTTP”之后忘了放“s”? 您可以使用ISA自动将HTTPstream量redirect到HTTPS。
  • 负载平衡 。 如果同一应用程序有多个Web服务器,则ISA Server可以将它们作为单个发布的Web站点进行负载平衡,而不需要硬件或软件networking负载平衡器; 这个负载平衡也发生在HTTP级别而不是TCP级别,所以它可以更好地pipe理客户端会话。
  • 所有其他ISA Serverfunction 。 当然。 但是不要忽略它们。 您可以configuration您的networking发布规则,只允许特定的用户,只在特定的时间,只能来自特定的IP范围等。 您也可以在单个外部IP地址上发布多个内部Web服务器等。 除了发布Exchange CAS服务器之外,还有许多事情可以在ISA中实现。

2004年版本后,我个人停止使用ISA。 尽pipe与MS产品集成的function和“易用性”是一个优点,但是如果configuration正确,现有的硬件防火墙也可以同样安全。

我发现ISA在混合中增加了另外一层复杂性,实际上也引入了一点慢的问题。

所以我的build议是使用一个MIP(映射的IP)到CAS服务器,只需要这些angular色所需的端口(80/443等)。

我所听到的论点是,让ISA在中间防止人们试图破解你的CAS服务器,但是如果你的CAS服务器安装的很好,特别是在CAS服务器上使用SCW for Windows设置和运行,那么你真的不会有任何更多的安全性担心,那么如果你有中间的ISA。

现在…博士。 Shinder和其他人会强烈反对,并敦促你把一个ISA盒,但我觉得有趣的是,大多数人是“Windowspipe理员”是networking/防火墙专家根本不使用它们…告诉我的东西。

ISA部署起来非常昂贵,如果您只是严格使用入站连接,那么ISA并没有什么意义。

对于caching1000个用户的出站请求,特别是对于Google,MSN,门户网站等大容量页面来说,这是非常有意义的。但是对于入站,您可以以更低的成本进行操作。

正如TheCleaner提到的,无论是Windows还是* nix,您都可以locking您的Web服务器/ CAS。

虽然问SSL是明智的。 每个SSL都需要有自己的IP地址 – 原因是您的边缘设备将无法解密任何主机头,因此您需要将任何进入SSL IP的请求映射到CAS上的特定IP地址,以便CAS将知道使用哪个证书。

基本总结:如果你已经有一个好的边缘设备,不要担心。 如果你不这样做,那么类似pfSense的东西将不再需要configuration比ISA更小的占用空间(可以使用128Mb的RAM快速运行),而且你不需要许可Windows并支付ISA的额外许可证。