通过ISA防火墙的安全Exchange RPC过滤器允许任何地点的Outlook客户访问

Outlook客户客户配置为在Exchange服务器和他之间加密传输的数据，但是，这个是客户端的配置，并且依赖于客户的配置。ISA防火墙的安全Exchange RPC过滤器允许您强制远程Outlook MAPI客户使用加密的通信。非加密通信的连接请求将会被ISA防火墙的Exchange RPC丢弃。

• 发布Exchange RPC服务器是很简单的

发布Exchange RPC是很简单的。一个服务器发布规则允许您的远程Outlook MAPI客户访问内部的Exchange服务器。您无需创建目的集或指定协议定义。内建的Exchange RPC协议能够和RPC过滤器很好的配合，提供受保护的、安全的发布归则。

• 访问只是限定于邮件服务，不是访问全部的网络服务

为了让用户能够访问完全的Exchange服务，传统的防火墙管理员允许VPN连接访问整个公司网络。这样带来了安全上的风险，事实上您只是想让用户访问Exchange的服务而已。ISA防火墙的安全RPC发布特性允许您只是让Outlook MAPI客户访问完全的Exchange服务而不给予其他额外的权限。

• 用户能够继续使用他们熟悉的Outlook 2000/2002/2003客户端

用户常抱怨他们在公司网络和远程站点间移动时需要使用不同的邮件客户端，而用户喜欢使用固定的客户端程式，如Outlook 2000/2002/2003。Exchange RPC发布能够让他们无论在家还是路上都使用熟悉的Outlook 2000/2002/2003。

www.bitsCN.com

安全Exchange RPC发布是如何工作的？

典型的情况下，远程Outlook MAPI客户通过本地的ISP或宽带服务提供商向Internet上的Exchange服务器建立连接。当打开Outlook时，会执行以下动作：

1. Outlook客户连接ISA防火墙的外部IP上的TCP 135端口（RPC终点映射器），在连接请求中包含Exchange服务器指定的UUIDs（Universal Unique Identifiers）。
2. ISA防火墙上的Exchange RPC过滤器接受此连接请求，然后转发到内部网络中的Exchange服务器。但是，在转发连接请求之前，安全Exchange RPC过滤器执行RPC协议的协议状态识别和应用层过滤。只有有效的RPC通信才能转发到内部的Exchange服务器。
3. 内部网络中的Exchange服务器通过回复一个Outlook客户能够和之进行通信的端口号来进行响应。ISA防火墙上的安全Exchange RPC 过滤器接受此回复，然后在自己的外部接口上开放一个动态包过滤器，让Outlook MAPI客户能够和Exchange服务器进行通信。这个动态的包过滤器在ISA防火墙的外部接口上指定一个端口，只有指定的Outlook客户才能和他进行通信。其他Internet主机是不能使用这个端口来和内部的Exchange服务器进行通信。另外，当Outlook客户登录后，他将从Exchange服务器上注册一个用于接收邮件 通知的端口，ISA防火墙的RPC过滤器同样会为此端口开放一个动态包过滤器，然后允许从内部Exchange服务器到Internet上的Outlook客户的邮件通知。
4. ISA防火墙转发Exchange服务器的回复给Outlook客户。Outlook客户接收到他能够用于和Exchange服务器进行通信的位于ISA防火墙的外部接口上的端口号；
5. Outlook MAPI客户通过ISA防火墙映射的端口和内部网络中的Exchange服务器建立连接。

下图显示了上述步骤的过程：