通过ISA防火墙的安全Exchange RPC过滤器允许任何地点的Outlook客户访问

译自 Thomas W Shinder MD, MVP，Enabling Full Outlook Client Access Anywhere using the ISA Firewall's Secure Exchange RPC Filter

内容概述：通过ISA防火墙强大的RPC过滤器，你可以安全的发布Exchange RPC服务，让外部网络的Outlook MAPI客户端可以访问Exchange服务器的全部服务而不用担心安全性问题。

你可以允许远程Outlook 2000/2002/2003客户通过Internet连接到你内部网络的Exchange服务器上来使用Outlook MAPI客户的全部功能。和OWA（Outlook Web Access）不一样，完全的Outlook MAPI客户允许远程用户使用Exchange服务器提供的邮件和协作软件特性；并且和Outlook RPC over HTTP不一样，你不需要使用Exchange 2003和Outlook 2003。

这些都可以通过ISA防火墙的安全Exchange RPC发布特性来实现。你可以通过安全Exchange RPC发布来授权远程用户访问Exchange的全部服务。

• 发布的Exchange RPC服务的安全性是通过Exchange RPC过滤器来实现，更为安全可靠。

对于RPC连接的一般印象都认为它不够安全，去年的冲击波等病毒也是通过RPC的一个问题来进行入侵的。但是通过ISA防火墙的Exchange RPC过滤器，你可以不用担心RPC的安全性问题。
Exchange RPC过滤器处理远程Outlook MAPI客户和内部Exchange服务器之间的连接，并且为指定的Outlook客户创建动态的包过滤器。同时，Exchange RPC过滤器只允许有效的Exchange服务器的相关RPC连接，其他连接都将被丢弃。这个是只在ISA防火墙里面存在的特性。

• Outlook MAPI客户和Exchange服务器之间的连接是加密的，未加密的连接将被ISA防火墙拒绝

Outlook客户客户配置为在Exchange服务器和它之间加密传输的数据，但是，这个是客户端的设置，并且依赖于客户的配置。ISA防火墙的安全Exchange RPC过滤器允许你强制远程Outlook MAPI客户使用加密的通信。非加密通信的连接请求将会被ISA防火墙的Exchange RPC丢弃。

• 发布Exchange RPC服务器是非常简单的

发布Exchange RPC是非常简单的。一个服务器发布规则允许你的远程Outlook MAPI客户访问内部的Exchange服务器。你不需要创建目的集或指定协议定义。内建的Exchange RPC协议可以和RPC过滤器很好的配合，提供受保护的、安全的发布归则。

• 访问只是限定于邮件服务，不是访问全部的网络服务

为了让用户可以访问完全的Exchange服务，传统的防火墙管理员允许VPN连接访问整个公司网络。这样带来了安全上的风险，事实上你只是想让用户访问Exchange的服务而已。ISA防火墙的安全RPC发布特性允许你只是让Outlook MAPI客户访问完全的Exchange服务而不给予其他额外的权限。

• 用户可以继续使用他们熟悉的Outlook 2000/2002/2003客户端

用户常抱怨他们在公司网络和远程站点间移动时需要使用不同的邮件客户端，而用户喜欢使用固定的客户端程序，如Outlook 2000/2002/2003。Exchange RPC发布可以让他们无论在家还是路上都使用熟悉的Outlook 2000/2002/2003。

安全Exchange RPC发布是如何工作的？

典型的情况下，远程Outlook MAPI客户通过本地的ISP或者宽带服务提供商向Internet上的Exchange服务器建立连接。当打开Outlook时，会执行以下动作：

1. Outlook客户连接ISA防火墙的外部IP上的TCP 135端口（RPC终点映射器），在连接请求中包含Exchange服务器指定的UUIDs（Universal Unique Identifiers）。
2. ISA防火墙上的Exchange RPC过滤器接受此连接请求，然后转发到内部网络中的Exchange服务器。但是，在转发连接请求之前，安全Exchange RPC过滤器执行RPC协议的协议状态识别和应用层过滤。只有有效的RPC通信才能转发到内部的Exchange服务器。
3. 内部网络中的Exchange服务器通过回复一个Outlook客户可以与之进行通信的端口号来进行响应。ISA防火墙上的安全Exchange RPC 过滤器接受此回复，然后在自己的外部接口上开放一个动态包过滤器，让Outlook MAPI客户可以和Exchange服务器进行通信。这个动态的包过滤器在ISA防火墙的外部接口上指定一个端口，只有指定的Outlook客户才能和它进行通信。其他Internet主机是不能使用这个端口来和内部的Exchange服务器进行通信。另外，当Outlook客户登录后，它将从Exchange服务器上注册一个用于接收邮件 通知的端口，ISA防火墙的RPC过滤器同样会为此端口开放一个动态包过滤器，然后允许从内部Exchange服务器到Internet上的Outlook客户的邮件通知。
4. ISA防火墙转发Exchange服务器的回复给Outlook客户。Outlook客户接收到它可以用于和Exchange服务器进行通信的位于ISA防火墙的外部接口上的端口号；
5. Outlook MAPI客户通过ISA防火墙映射的端口和内部网络中的Exchange服务器建立连接。

下图显示了上述步骤的过程：