通过ISA防火墙的安全Exchange RPC过滤器允许任…
2008-02-23 06:06:43来源:互联网 阅读 ()
译自 Thomas W Shinder MD, MVP,Enabling Full Outlook Client Access Anywhere using the ISA Firewall's Secure Exchange RPC Filter 内容概述:通过ISA防火墙强大的RPC过滤器,您能够安全的发布Exchange RPC服务,让外部网络的Outlook MAPI客户端能够访问Exchange服务器的全部服务而不用担心安全性问题。 您能够允许远程Outlook 2000/2002/2003客户通过Internet连接到您内部网络的Exchange服务器上来使用Outlook MAPI客户的全部功能。和OWA(Outlook Web Access)不相同,完全的Outlook MAPI客户允许远程用户使用Exchange服务器提供的邮件和协作软件特性;并且和Outlook RPC over HTTP不相同,您无需使用Exchange 2003和Outlook 2003。 这些都能够通过ISA防火墙的安全Exchange RPC发布特性来实现。您能够通过安全Exchange RPC发布来授权远程用户访问Exchange的全部服务。 对于RPC连接的一般印象都认为他不够安全,去年的冲击波等病毒也是通过RPC的一个问题来进行入侵的。但是通过ISA防火墙的Exchange RPC过滤器,您能够不用担心RPC的安全性问题。
Exchange RPC过滤器处理远程Outlook MAPI客户和内部Exchange服务器之间的连接,并且为指定的Outlook客户创建动态的包过滤器。同时,Exchange RPC过滤器只允许有效的Exchange服务器的相关RPC连接,其他连接都将被丢弃。这个是只在ISA防火墙里面存在的特性。 www_bitscn_com
- Outlook MAPI客户和Exchange服务器之间的连接是加密的,未加密的连接将被ISA防火墙拒绝
Outlook客户客户配置为在Exchange服务器和他之间加密传输的数据,但是,这个是客户端的配置,并且依赖于客户的配置。ISA防火墙的安全Exchange RPC过滤器允许您强制远程Outlook MAPI客户使用加密的通信。非加密通信的连接请求将会被ISA防火墙的Exchange RPC丢弃。
发布Exchange RPC是很简单的。一个服务器发布规则允许您的远程Outlook MAPI客户访问内部的Exchange服务器。您无需创建目的集或指定协议定义。内建的Exchange RPC协议能够和RPC过滤器很好的配合,提供受保护的、安全的发布归则。
为了让用户能够访问完全的Exchange服务,传统的防火墙管理员允许VPN连接访问整个公司网络。这样带来了安全上的风险,事实上您只是想让用户访问Exchange的服务而已。ISA防火墙的安全RPC发布特性允许您只是让Outlook MAPI客户访问完全的Exchange服务而不给予其他额外的权限。
用户常抱怨他们在公司网络和远程站点间移动时需要使用不同的邮件客户端,而用户喜欢使用固定的客户端程式,如Outlook 2000/2002/2003。Exchange RPC发布能够让他们无论在家还是路上都使用熟悉的Outlook 2000/2002/2003。
www.bitsCN.com
安全Exchange RPC发布是如何工作的?
典型的情况下,远程Outlook MAPI客户通过本地的ISP或宽带服务提供商向Internet上的Exchange服务器建立连接。当打开Outlook时,会执行以下动作:
- Outlook客户连接ISA防火墙的外部IP上的TCP 135端口(RPC终点映射器),在连接请求中包含Exchange服务器指定的UUIDs(Universal Unique Identifiers)。
- ISA防火墙上的Exchange RPC过滤器接受此连接请求,然后转发到内部网络中的Exchange服务器。但是,在转发连接请求之前,安全Exchange RPC过滤器执行RPC协议的协议状态识别和应用层过滤。只有有效的RPC通信才能转发到内部的Exchange服务器。
- 内部网络中的Exchange服务器通过回复一个Outlook客户能够和之进行通信的端口号来进行响应。ISA防火墙上的安全Exchange RPC 过滤器接受此回复,然后在自己的外部接口上开放一个动态包过滤器,让Outlook MAPI客户能够和Exchange服务器进行通信。这个动态的包过滤器在ISA防火墙的外部接口上指定一个端口,只有指定的Outlook客户才能和他进行通信。其他Internet主机是不能使用这个端口来和内部的Exchange服务器进行通信。另外,当Outlook客户登录后,他将从Exchange服务器上注册一个用于接收邮件 通知的端口,ISA防火墙的RPC过滤器同样会为此端口开放一个动态包过滤器,然后允许从内部Exchange服务器到Internet上的Outlook客户的邮件通知。
- ISA防火墙转发Exchange服务器的回复给Outlook客户。Outlook客户接收到他能够用于和Exchange服务器进行通信的位于ISA防火墙的外部接口上的端口号;
- Outlook MAPI客户通过ISA防火墙映射的端口和内部网络中的Exchange服务器建立连接。
下图显示了上述步骤的过程:
注意:
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
对于更为深入的关于Exchange RPC过滤器是如何工作的技术资料,请参见http://www.microsoft.com/technet/prodtechnol/isa/2000/maintain/rpcwisa.mspx bbs.bitsCN.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash