Представление Exchange 2010 OWA через Cisco ASA 5520

Для достойной безопасности необходимо рассмотреть использование сервера Microsoft ISA в демилитаризованной зоне и открыть внешний доступ к полю ISA вместо прямого доступа к полю Exchange. От поля ISA Вы разрешаете http/https соединения назад с Вашим Exchange Server и настраиваете ISA для инвертирования прокси запросы. ISA может также сделать основанную на форме аутентификацию, чтобы дать пользователю более хорошее приглашение ко входу в систему.

Если Вы не возражаете использовать Apache бесплатного продукта, HTTPD (или на Linux или на Windows) может, очевидно, сделать, это, но стандартное решение Microsoft был бы Сервер ISA.

Решением ASA для этого сценария является "SSL Без клиента VPN" (иначе "WebVPN"). ASA выполнит сервер HTTPS и обработает аутентификацию. Это затем инвертирует, проксирует HTTP назад к внутреннему серверу, с SSO при необходимости.

Преимущество этого состоит в том, что Вы только выставляете ASA внешнему миру (а не полный доступ HTTP к Вашему почтовому серверу), и они только получают "более глубокий" доступ после аутентификации.

Это довольно аккуратно и дает намного больше функциональности (существует SSH и апплеты RDP, доступные также), но это действительно требует дополнительных лицензий. В зависимости от числа пользователей это могло бы сделать это менее привлекательной опцией (это сделало для меня!)

Не выгружайте свой ASA. TMG очень легко управлять внутри вашей DMZ ASA. TMG должен быть двухкомпонентным ... то есть иметь место как в вашей сети DMZ, так и во внутренней сети. Настроить его очень просто, а TMG упрощает публикацию OWA в Интернете. Помните, что серверам с двойным подключением всегда нравится иметь только один шлюз по умолчанию, поэтому имейте это в виду, иначе это может вызвать у вас проблемы.

Я точно настроил этот сценарий, и он работает как шарм.