 请在 ISA Server Guides and Articles 获取最新的 ISA 服务器内容。
|
ISA 服务器处理网络外部的客户端与位于网络内部的远程过程调用 (RPC) 服务器之间的所有 RPC 通讯。使用 ISA 服务器 RPC 筛选器,可以将一个或多个 UUID 接口指定为 RPC 协议定义。此协议定义用于服务器的 ISA 服务器发布规则中,以便外部客户端可以访问内部 RPC 服务器上的 UUID 接口。
默认情况下,RPC 筛选器应用于 RPC 和 RPC 服务器协议。有关协议的详细信息,请参阅协议。
从远程站点访问 Exchange 服务器的常见方法是使用完整的 Outlook® MAPI 客户端。用户喜欢使用当直接连接到公司网络时他们所使用的完整的 Outlook MAPI 客户端来收发电子邮件。防火墙和安全管理员所面临的主要困难是确保完整 Outlook MAPI 客户端远程访问连接的安全性。远程访问 Microsoft Exchange RPC 服务(对于 Outlook MAPI 客户端访问是必需的)可以要求在 Internet 边缘防火墙上存在大量静态打开的端口。允许远程访问 Exchange RPC 服务所需的静态打开端口数对于改善从远程位置使用 Outlook 收发邮件的体验一直是一个屏障。
在传统的防火墙上,要启用这一类型的访问,在传统防火墙上的大量静态打开端口会使安全和防火墙管理员对于是否允许使用完整的 Outlook MAPI 客户端进行远程访问而犹豫不决。一个重要的考虑因素是 RPC 和 DCOM 服务可能受到专门设计的病毒和蠕虫的攻击。如果使用传统的防火墙(不识别 RPC 应用程序层),那么 RPC 蠕虫可能会通过此端口号攻击网络。此类攻击可能会感染 Exchange 服务器,继而感染公司网络中的其他计算机。
ISA 服务器 RPC 筛选器允许您强制建立与公司 Exchange 服务器的安全 Outlook MAPI 连接。RPC 筛选器会阻止来自公司网络的出站 RPC 蠕虫连接。此筛选器可以帮助您防止 RPC 蠕虫连接遗留在公司网络中,并阻止网络中的主机感染 Internet 上的计算机。
RPC 筛选器还可以用于强制从 Outlook MAPI 客户端建立安全的 RPC 连接。如果启用此功能,从远程 Outlook MAPI 客户端发出的连接请求将必须通过安全的加密通道完成。如果连接不安全,ISA 服务器将丢弃客户端请求。这使得 ISA 服务器(而不是用户)可以控制安全级别。
有关说明,请参阅配置 RPC 筛选。
下面说明了何时在 Outlook MAPI 客户端与 ISA 服务器之间建立最初的 RPC 终结点映射程序连接:
下面是建立终结点映射程序连接后,Outlook MAPI 客户端与 Exchange 服务器之间的通讯顺序:
可以基于每条规则配置出站 RPC 协议,以强制实现严格的 RPC 符合性。默认情况下,对 RPC 协议强制实现严格的符合性。通过强制实现严格的符合性,RPC 类型的协议(如 DCOM)将不允许通过 ISA 服务器。
有关说明,请参阅配置 RPC 筛选。
|
请在 ISA Server Guides and Articles 获取最新的 ISA 服务器内容。
|