Exchange 2007 CAS - ISA Server 相对于转发端口 443 的优势

使用 ISA Server 作为反向代理的主要优点是安全性，但是如果您要发布多个应用程序，当然会更有意义；如果您只需要让您的 Exchange CAS 服务器从外部可用，那么购买、实施和管理 ISA 可能有点矫枉过正。

使用 ISA，而不是简单地转发 TCP 端口 443，具有以下优点：

• 预认证。用户可以通过ISA Server自己进行认证，只有认证成功后才会将请求转发到实际发布的服务器；这甚至可以阻止未经身份验证的用户试图篡改您的 Web 应用程序，从而避免您在应用程序登录时出现可能的错误。
• HTTP 过滤。标准 HTTPS 连接流经网络防火墙，根本不被分析，因为流量当然是加密的；使用 ISA，从客户端到 ISA 代理建立 HTTPS 连接，然后由 ISA 重新打开到 Web 服务器，从而允许 ISA 检查和清理实际的 HTTP 流量；这不允许对您已发布的应用程序的“奇怪”请求，从而使您免于一大堆应用程序错误（缓冲区溢出等）。
• 网址过滤。如果您向内部 Web 服务器打开 TCP 端口 80 和/或 443，客户端可以向 Web 服务器询问它想要的任何东西（域、站点、路径、文件等）；ISA Server 可以配置为只接受某些 URL，因此如果您有一个托管多个站点的 Web 服务器，或者一些仅限内部的网站，或者一些私人存储区域等，您可以确保只接受像“ https:/ ”这样的请求/webmail.mydomain.com/owa ”可以访问它。
• HTTPS 重定向。好吧，这不是一个大问题，但是，说到 URL，有多少用户忘记在“HTTP”后面加上“s”？您可以使用 ISA 自动将 HTTP 流量重定向到 HTTPS。
• 负载均衡。如果您有多个 Web 服务器用于同一应用程序，ISA Server 可以将它们作为单个已发布网站进行负载平衡，而无需硬件或软件网络负载平衡器；这种负载平衡也发生在 HTTP 级别而不是 TCP 级别，因此它可以更好地管理客户端会话。
• 所有其他 ISA 服务器功能。当然。但不要忽视它们。您可以将您的网络发布规则配置为仅允许特定用户、仅在特定时间、仅来自特定 IP 范围等；您还可以在单​​个外部 IP 地址上发布多个内部 Web 服务器等；实施 ISA 后，除了发布 Exchange CAS 服务器外，您还可以使用它做很多事情。

我个人在 2004 年版问世后就停止使用 ISA。虽然与 MS 产品集成的功能和“简易性”是一个优势，但如果配置正确，现有的硬件防火墙也同样安全。

我发现混合中的 ISA 只是增加了另一层复杂性，实际上也引入了一点缓慢。

所以我的建议是使用 MIP（映射 IP）到 CAS 服务器，只为角色所需的端口（80/443 等）。

我听到的论点是，将 ISA 放在中间可以防止人们试图入侵您的 CAS 服务器，但如果您的 CAS 服务器设置良好，特别是如果您在 CAS 服务器上使用 SCW for Windows 是设置和运行，那么如果您在中间有 ISA，那么您真的不需要担心更多的安全问题。

现在……博士。Shinder 和其他人会强烈反对并敦促您放入一个 ISA 盒子，但我觉得有趣的是，大多数网络/防火墙专家“Windows 管理员”之外的人根本不使用它们……这告诉我一些事情.

ISA 的部署成本很高，如果您只将它严格用于入站连接，那么它并没有多大意义。

缓存 1000 个用户的出站请求非常有意义，尤其是对于 Google、MSN、门户网站等大容量页面。但是对于入站，您可以以更少的成本做同样的事情。

正如 TheCleaner 所提到的，您可以很好地锁定您的 Web 服务器/CAS，无论它是 Windows 还是 *nix。

不过，询问 SSL 是明智的。每个 SSL 都需要有自己的 IP 地址 - 原因是您的边缘设备将无法解密任何主机标头，因此您需要将来自 SSL IP 的任何请求映射到 CAS 上的特定 IP 地址，以便CAS 将知道使用哪个证书。

基本总结：如果你已经有一个好的边缘设备，不用担心。如果您不这样做，那么pfSense之类的配置将不会比 ISA 花费更多时间，占用空间要小得多（可以在具有 128Mb RAM 的 VM 中愉快地运行），并且您无需获得 Windows 许可并付费ISA 的附加许可证。