移動員工是 IT 組織面臨的最為獨特的安全挑戰(zhàn)。遠(yuǎn)程用戶需要對數(shù)據(jù)和服務(wù)(如電子郵件)進(jìn)行安全訪問。然而遺憾的是，現(xiàn)實中安全鏈最為薄弱的環(huán)節(jié)往往與脆弱的密碼、惡意軟件(如擊鍵記錄器)，以及訪問您所在組織內(nèi)部資源的遠(yuǎn)程計算機上的病毒有關(guān)。

　　提高這種移動環(huán)境安全性的其中一種方法是去掉這其中的某一個薄弱環(huán)節(jié)：密碼(雖然允許在訪問某個帳戶時不使用密碼進(jìn)行身份驗證可能會帶來麻煩)。用于解決密碼相關(guān)問題的主要技術(shù)便是雙重身份驗證(或有時為多重身份驗證)。雙重身份驗證在啟用訪問時不是依賴一種單一的方法(密碼)，而會使用額外的身份驗證方法，包括用戶名/密碼的組合、物理設(shè)備(如智能卡)，或生物特征識別碼(如指紋)。

　　如果您有遠(yuǎn)程用戶，通常會稍稍開啟您的防火墻以便允許遠(yuǎn)程用戶訪問公司網(wǎng)絡(luò)。標(biāo)準(zhǔn)的防火墻通過提供內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)間網(wǎng)絡(luò)級的隔離來提供基本的風(fēng)險緩解(參見圖 1)。為增強安全性，只能關(guān)閉端口，如若需要與內(nèi)部網(wǎng)絡(luò)中的設(shè)備進(jìn)行通信，就將端口映射到正確的位置。這些技術(shù)確實提供了足夠的網(wǎng)絡(luò)級保護(hù)，但由于攻擊技術(shù)不斷發(fā)展成熟，多層網(wǎng)絡(luò)安全性就變得非常必要了。

　　

　　圖 1 端口被阻止或被映射的標(biāo)準(zhǔn)防火墻 (單擊該圖像獲得較大視圖)

　　既然移動員工最常使用的公司服務(wù)是電子郵件和消息傳送，因此將您的 Exchange 基礎(chǔ)結(jié)構(gòu)進(jìn)行安全配置就變得比任何時候都重要了。讓您的用戶通過 Outlook® Web Access (OWA) 訪問電子郵件是為移動員工提供安全服務(wù)的一種方法。通過智能卡為 OWA 提供更為安全的雙重身份驗證是另一個關(guān)鍵步驟。在本文中，我們將進(jìn)一步說明您在啟用自己的使用智能卡的 OWA 部署中應(yīng)當(dāng)注意的問題。

　　優(yōu)于防火墻

　　在您的網(wǎng)絡(luò)中使用 Microsoft® Internet Security and Acceleration (ISA) Server 2006 可以簡化向遠(yuǎn)程用戶開放網(wǎng)絡(luò)這一任務(wù)，而且更為安全。ISA Server 2006 包含一些安全增強功能，如啟用智能卡的虛擬專用網(wǎng)絡(luò) (VPN)、到 Active Directory® 的輕型目錄訪問協(xié)議 (LDAP) 身份驗證，以及 Kerberos 約束委派。ISA Server 與您想象的傳統(tǒng)防火墻稍有不同。它不僅通過在網(wǎng)絡(luò)層提供多層安全性——這可以代替或與標(biāo)準(zhǔn)的防火墻硬件結(jié)合使用——而且還提供傳統(tǒng)防火墻通常不支持的一些其他安全功能，如應(yīng)用程序篩選器。不想讓某個人在特定托管網(wǎng)站上使用 HTTP POST 方法?想要在 SMTP 消息接觸您的 Exchange 服務(wù)器之前在其上強制實行 RFC 遵從性?想要在加密的安全套接字層 (SSL) HTTP 數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)前對其進(jìn)行檢查?ISA Server 可以管理所有這些以及更多的任務(wù)，從而確保只有干凈的、經(jīng)篩選的通信可以被轉(zhuǎn)發(fā)到您的 DMZ 或內(nèi)部網(wǎng)絡(luò)中。

　　對于標(biāo)準(zhǔn)防火墻來說，SSL 會話是一個大問題。當(dāng)數(shù)據(jù)包通過防火墻時，它們會保持加密狀態(tài)(這意味著 SSL 正常工作)。因此，如果一個應(yīng)用程序(如 OWA)通過使用 SSL 的硬件或軟件防火墻進(jìn)行發(fā)布，那么除了狀態(tài)數(shù)據(jù)包檢查外，標(biāo)準(zhǔn)防火墻便不能執(zhí)行其他真正有效的檢查了。這種僅僅是打開和映射端口會極大地增加受攻擊的機會。由于在邊緣處沒有進(jìn)行真正的檢查，未經(jīng)檢查和身份驗證的數(shù)據(jù)包便可傳送到您的內(nèi)部網(wǎng)絡(luò)中。

　　ISA Server 2006 可以作為 HTTP 客戶端的 SSL 終結(jié)點，確保只有經(jīng)過身份驗證的通信可以到達(dá)已發(fā)布的 Exchange 服務(wù)器。ISA Server 支持一個名為 SSL 橋接的有用功能。通常數(shù)據(jù)包是由通過一個標(biāo)準(zhǔn)的 SSL 會話與 ISA Server 進(jìn)行通信的客戶端進(jìn)行加密的。有了 SSL 橋接功能，ISA Server 就可以本地終止 SSL 加密，檢查當(dāng)前未加密的數(shù)據(jù)包，對 Active Directory 的用戶進(jìn)行身份驗證(如果需要)，使用 SSL 對數(shù)據(jù)包重新進(jìn)行加密，然后將加密后的數(shù)據(jù)包傳送到相應(yīng)的 Exchange 服務(wù)器上(參見圖 2)。使用這種技術(shù)，SSL 橋接可以緩解 SSL 會話中隱藏的攻擊，而這些攻擊對于那些應(yīng)用程序不敏感的防火墻來說只不過是一些加密的數(shù)據(jù) Blob。

　　

　　圖 2 ISA Server 從應(yīng)用程序?qū)拥慕嵌葋砜创ㄐ?(單擊該圖像獲得較大視圖)

　　提到 Kerberos 約束委派，到達(dá)服務(wù)器的經(jīng)過預(yù)先身份驗證的通信是十分值得注意的一點。在標(biāo)準(zhǔn)的防火墻中，端口只是簡單地映射到 Exchange 服務(wù)器，并且由前端服務(wù)器自身來執(zhí)行身份驗證任務(wù)以防止惡意用戶。當(dāng)需要進(jìn)行身份驗證時，ISA Server 可以直接聯(lián)系 Active Directory，并代表用戶請求獲得憑據(jù)。如果用戶成功通過身份驗證，ISA Server 會將消息轉(zhuǎn)發(fā)至 Exchange 前端服務(wù)器。前端服務(wù)器則不再需要對隨機的未知用戶請求進(jìn)行身份驗證，并可單獨用于代理到后端服務(wù)器的請求。ISA Server 2006 還可以使用 Kerberos 約束委派來啟用到 Windows SharePoint Services 和 Exchange ActiveSync 等技術(shù)的基于證書的訪問。

　　Exchange Server 2003 包含對 OWA 登錄的前后端服務(wù)器之間基于 Kerberos 的身份驗證支持。(您是否使用 IPsec 來保護(hù)該客戶端通信?)Exchange Server 還支持到群集郵箱服務(wù)器的 Kerberos 身份驗證。

　啟用智能卡身份驗證

　　為 OWA 實施基于智能卡的身份驗證一直以來都是一項挑戰(zhàn)。不過現(xiàn)在 ISA Server 2006 中已有了一個根據(jù) Kerberos 約束委派功能開發(fā)的解決方案。該解決方案允許用戶通過證書來提交憑據(jù)，以便成功通過 OWA 的身份驗證。Kerberos 約束委派深受廣大用戶的歡迎，它是對使用無約束委派、受 Windows® 2000 支持的 Kerberos 委派的一次改進(jìn)。Kerberos 的約束功能可以提高安全性，并且限制了使用假冒身份這種更為復(fù)雜的攻擊的潛在風(fēng)險。

　　在啟用智能卡的情況下，由于用戶無法從外部網(wǎng)絡(luò)對密鑰發(fā)行中心 (KDC) 進(jìn)行可路由的訪問，因此 ISA Server 2006 會聯(lián)系 Active Directory 來對用戶進(jìn)行身份驗證。ISA Server 會根據(jù) Active Directory 證書-用戶映射來對用戶進(jìn)行身份驗證，然后根據(jù)用戶主體名稱 (UPN) 來分別獲取相應(yīng)的 Kerberos 票證。在這種情況下，ISA Server 會通過應(yīng)用程序級別的篩選和反向代理服務(wù)向 Exchange 前端服務(wù)器提供 Kerberos 約束委派功能。如果嘗試不使用反向代理進(jìn)行委派，則會增加漏洞攻擊的風(fēng)險，從而影響網(wǎng)絡(luò)或 Active Directory 域的完整性。

　　Exchange Server 2003 和 Exchange Server 2007 均允許基本身份驗證和集成身份驗證。但是您需要對 Exchange Server 2003 進(jìn)行軟件更新，以便啟用 OWA 的基于智能卡的身份驗證。(有關(guān)詳細(xì)信息，請參閱文章“對 Exchange Server 2003 中支持 Outlook Web Access 智能卡身份驗證的新功能的說明”。)您必須擁有一個處于 Windows Server® 2003 本機功能模式的域，涉及的所有 Exchange Server 2003 服務(wù)器必須應(yīng)用 SP2 或更新的版本，并且必須有一個 ISA Server 2006 服務(wù)器作為 OWA 站點的反向代理。

　　安裝軟件更新并對 ISA 和 Exchange 服務(wù)器進(jìn)行配置后，便可以使用智能卡對 OWA 會話進(jìn)行身份驗證了。圖 3 顯示了智能卡驗證過程中需要進(jìn)行的一系列事件。用戶先在 Internet Explorer® 中打開 OWA 站點 (1)。事實上，在啟動 OWA 會話時，用戶會實際連接到 ISA Server，并且服務(wù)器會提示您輸入證書而不是用戶名和密碼。正確的證書存儲在智能卡中，用戶需要有一個 PIN 才能獲取證書。

　　

　　圖 3 使用智能卡對 OWA 進(jìn)行身份驗證 (單擊該圖像獲得較大視圖)

　　證書驗證 (2) 由證書吊銷列表 (CRL) 或在線證書狀態(tài)協(xié)議 (OCSP) 請求來處理，這根據(jù) ISA Server 的配置和安裝的其他軟件而定。ISA Server 會向域控制器 (DC) 發(fā)送一個驗證用戶憑據(jù)的請求。如果請求失敗，ISA Server 會向用戶提供一個錯誤頁面，并且沒有請求會到達(dá) Exchange 前端服務(wù)器。

　　憑據(jù)經(jīng)驗證后，會生成 Kerberos 票證并會將請求傳送至使用集成身份驗證的 Exchange 前端服務(wù)器 (3)。Exchange 前端服務(wù)器收到請求后，會對 Kerberos 票證進(jìn)行驗證并會找到用戶的后端郵箱服務(wù)器 (4)。

　　前端服務(wù)器會通過 Kerberos 約束委派為相應(yīng)的后端服務(wù)器請求一個 Kerberos 票證，并會將郵箱請求代理到使用集成身份驗證的后端服務(wù)器 (5)。后端服務(wù)器會處理請求 (6)，并會將郵箱數(shù)據(jù)返回給 Exchange 前端服務(wù)器 (7)。OWA 頁的 HTML 數(shù)據(jù)將被傳送至 ISA Server (8)，然后數(shù)據(jù)會返回至客戶端機器 (9)。

　　配置 Exchange 環(huán)境

　　先前提到的知識庫文章對 Exchange Server 2003 軟件更新進(jìn)行了說明，并包含指導(dǎo)您完成使用 ISA Server 2006 和 Exchange Server 2003 啟用 Kerberos 約束委派這個過程的信息。

　　軟件更新后啟用的主要操作是使從 Exchange 前端服務(wù)器到各自的后端服務(wù)器的 Kerberos 約束委派過程自動化。由于 ISA Server 不是 Exchange 組織的一部分，因此該項更新不會將從 ISA Server 到前端服務(wù)器的 Kerberos 約束委派過程自動化。這種 ISA Server 實例到 Exchange 前端服務(wù)器之間的委派需一一手動啟用。

　　軟件更新會在 Exchange 系統(tǒng)管理器 (ESM) 中添加一個新的選項卡，該選項卡可讓您將某個 Exchange 前端服務(wù)器指定為 KCD-FE(參見圖 4)，這樣便可以讓該服務(wù)器在每個 Exchange 后端服務(wù)器的委派選項卡上進(jìn)行填充。

　　

　　圖 4 啟用 Kerberos 約束委派

　　這個新的 UI 還可讓您在管理組屬性中指定用哪個憑據(jù)來填充 msDS-AllowedToDelegateTo (A2D2) 屬性，如圖 5 所示。該屬性用于進(jìn)行 Kerberos 約束委派。

　　

　　圖 5 設(shè)置控制委派的帳戶

根據(jù)最低權(quán)限原則，您可以使用一個標(biāo)準(zhǔn)的用戶帳戶，并授予它通過組策略對象 (GPO) 來委派用戶和計算機的能力。為帳戶授予這個提升的權(quán)限后，該帳戶便可作為一個服務(wù)帳戶，使每個管理組的 Kerberos 約束委派過程自動化。

　　請務(wù)必采用正確的步驟，以確保惡意用戶無法破壞 Kerberos 約束委派服務(wù)帳戶。即使帳戶不是一個域管理員，利用 Kerberos 委派對其進(jìn)行訪問也可導(dǎo)致受到復(fù)雜的攻擊。由于帳戶具有建立新的 Kerberos 關(guān)聯(lián)的功能，因此使用時應(yīng)非常小心。為確保帳戶的安全性和完整性，應(yīng)采取必要的措施，如長而復(fù)雜的密碼、增強審核、帳戶停用技術(shù)等。

　　Exchange 軟件更新還使 ESM 接口有關(guān)集成身份驗證方面發(fā)生了重大變化。先前在 Exchange Server 2003 中，當(dāng)某個服務(wù)器被指定為前端服務(wù)器后，用于啟用 HTTP 虛擬目錄(HTTP 虛擬服務(wù)器下)的集成 Windows 身份驗證的選項就會變灰(參見圖 6)。

　　

　　圖 6a 更新使得可以使用集成身份驗證

　　圖 6b 更新使得可以使用集成身份驗證

　　發(fā)生這種情況的原因是，由于技術(shù)方面的問題(如代理服務(wù)器會中斷 NTLM 會話、使用 Kerberos 身份驗證的用戶需要連接到 Active Directory，以及 Internet 用戶通常不屬于該域)，Exchange 前端服務(wù)器不支持集成身份驗證。上面提到的知識庫文章中所描述的更新取消了這些限制。安裝了更新后，您只需轉(zhuǎn)到虛擬目錄，然后選中“集成 Windows 身份驗證”復(fù)選框，將其作為驗證用戶憑據(jù)的機制。選中該復(fù)選框后，它會在 Active Directory 中的虛擬目錄對象上設(shè)置一個名為 msexchAuthenticationFlags 的屬性(使用 Microsoft 管理控制臺的 Adsiedit.msc 插件可以看到該屬性)。

　　通過 OWA 來檢查郵件的用戶可能知道他們的 Exchange 后端服務(wù)器的名稱，并且當(dāng)他們位于公司內(nèi)部網(wǎng)絡(luò)時可以使用集成身份驗證連接到這些后端服務(wù)器。使用集成身份驗證的用戶體驗的不同之處在于，由于您已經(jīng)登錄到網(wǎng)絡(luò)中，系統(tǒng)便不會提示您輸入用戶名和密碼了，因為 Internet Explorer 會自動對您進(jìn)行身份驗證并登錄到網(wǎng)站中。這一點對于位于公司網(wǎng)絡(luò)的用戶來說是非常棒的，但外部用戶(OWA 用戶更常見的是外部用戶)通常在從網(wǎng)絡(luò)外部訪問 Exchange 前端服務(wù)器時不會登錄到某個域中。(知識庫文章“IIS 如何驗證瀏覽器客戶端”中對這個過程進(jìn)行了詳細(xì)的說明。)

　　在 Exchange Server 中，更新會對“委派”選項卡進(jìn)行填充，以便使用 Active Directory 中的 A2D2 屬性，而不是服務(wù)主體名稱 (SPN)。如果您使用 Adsiedit.msc 來查看 Exchange 計算機對象，您就會注意到兩個截然不同的屬性：A2D2 屬性，它是 Kerberos 約束委派列表;SPN 屬性，它是 Kerberos 定位器和帳戶規(guī)范點。雖然確實是這兩個屬性同時促成了 Kerberos 約束委派，但您只需通過圖形界面修改 A2D2 屬性即可。

　　Windows 可以使用內(nèi)置的 HOST SPN 作為別名來尋找其他服務(wù)。這意味著 Kerberos 約束委派無需使用 setspn.exe 來進(jìn)行 Exchange 前端到后端的委派。(雖然使用這個解決方案可以在 SPN 屬性列表中明確指定 HTTP/Servername，但這會引起更多由管理員造成的錯誤，并且這也不是 Kerberos 約束委派運行所必需的。)Kerberos 約束委派會在 Active Directory 中查找 A2D2 屬性。當(dāng)未對該屬性進(jìn)行填充(或填充的 SPN 值出錯)時，Kerberos 約束委派將不會在各自的服務(wù)器間進(jìn)行。但是在一個 Exchange 群集中，只需將來自前端的 A2D2 屬性指向群集節(jié)點計算機帳戶便可讓委派順利進(jìn)行。

　　正如前面提到的，Windows Server 2003 域包含的 Exchange 2003 服務(wù)器必須處于 Windows Server 2003 本機功能模式。在未達(dá)到這一級別的域功能前，Kerberos 約束委派將不能使用。如果您的域仍處于混合模式，但您安裝了前面提到的軟件更新，那么委派看似是可以進(jìn)行的，但 SPN 注冊實際上是失敗的。Kerberos 約束委派還是一項域功能，而不是林級功能。這意味著，對于 Exchange Server 2003 來說，ISA Server 以及 Exchange 前端和后端服務(wù)器必須是同一域中的成員(雖然不同域中的用戶仍然可以通過 Kerberos 約束委派的身份驗證)。非域成員的 ISA Server 實例，或是其他域中的 ISA Server 實例將不作為該解決方案的一部分運行。

配置 OWA 站點

　　IIS Admin 不可用于針對 OWA 的任何類型的身份驗證更改。即使 OWA 是在 IIS 下運行，并且會像任何其他網(wǎng)站一樣響應(yīng)元數(shù)據(jù)庫中的變化，但 Exchange 和目錄服務(wù)到元數(shù)據(jù)庫 (DS2MB) 進(jìn)程使事情變得有點復(fù)雜。DS2MB 進(jìn)程會將 Active Directory 中的更改復(fù)制到 IIS 元數(shù)據(jù)庫中，這種復(fù)制是單向的，它會覆蓋先前直接對 IIS 進(jìn)行的所有更改。該進(jìn)程造成的影響是，如果管理員直接對 IIS 元數(shù)據(jù)庫進(jìn)行更改(如設(shè)置集成身份驗證)，該解決方案看似可以正常運行，但是一旦下一次 DS2MB 復(fù)制循環(huán)開始，解決方案就將被破壞。

　　ESM 中為 HTTP 虛擬目錄啟用集成 Windows 身份驗證的選項是可用的，因為 ESM 可以直接對 Active Directory 進(jìn)行編輯，然后將所做的更改復(fù)制到 IIS 元數(shù)據(jù)庫中。請記住，雖然停止系統(tǒng)助理服務(wù)會停止 DS2MB 進(jìn)程，以便讓您對 IIS 元數(shù)據(jù)庫進(jìn)行更改而不被覆蓋，但我們不建議采用這種方法。系統(tǒng)助理下次啟動時，會輪詢 Active Directory 中的更改，然后解決方案將自動被停用。

　　“委派”選項卡顯示了“僅使用 Kerberos”選項和“使用任意的身份驗證協(xié)議”選項。既然我們討論的解決方案是使用 Kerberos 約束委派的，那么我們就不難知道應(yīng)該選擇“僅使用 Kerberos”，但是許多 IT 組織的情況是不適用這種一般邏輯的。因此，我們應(yīng)選擇“使用任意的身份驗證協(xié)議”這個選項(如圖 7 所示)，因為請求并不是作為 Kerberos 請求，而是作為 HTTP 請求進(jìn)入的，它有一個與之相對應(yīng)的證書映射到 Active Directory 帳戶。

　　

　　圖 7 更正智能卡的身份驗證設(shè)置

　　在此例中，ISA Server 是通過 SSL 來請求用戶 PKI 證書的。傳入的請求不是 Kerberos 票證，因此為了讓 Kerberos 約束委派順利進(jìn)行，就必須進(jìn)行轉(zhuǎn)換。因此，指定“僅使用 Kerberos”這種設(shè)置將會破壞 ISA Server 上的通信鏈。但是請注意，“僅使用 Kerberos”選項在 Exchange 前端到后端服務(wù)器的委派中是適用的，因為前端服務(wù)器只會接收來自 ISA Server 的 Kerberos 票證。

　　\Exchange 和 \Public 虛擬目錄是唯一包含專用用戶和公共文件夾信息的位置。Exchange 中的 SSL 配置對于 Kerberos 約束委派或雙重身份驗證來說都不是新的事物，它是對采用基本身份驗證憑據(jù)的 OWA 的標(biāo)準(zhǔn) SSL 啟用的一次繼承。您應(yīng)按照文中描述的方法在 OWA 上啟用 SSL，因為錯誤地強制啟用 SSL 會破壞 OWA，同時也會使 ESM 出現(xiàn)問題。

　　其他配置詳細(xì)信息

　　實施該解決方案時，先以標(biāo)準(zhǔn)方式部署 ISA Server 和 Exchange 可以讓工作變得更加簡單。請不要實施整個 Kerberos 約束委派解決方案并配置所有設(shè)置(特別是在部署中還沒有 ISA Server 時)。這樣會使得當(dāng)處理過程中的某個組件或步驟出現(xiàn)故障時的故障排除過程變得更為復(fù)雜。而以標(biāo)準(zhǔn)方式(使用用戶名和密碼，但不使用基于表單的身份驗證)部署 ISA Server 和 Exchange 可以讓工作變得更加簡單，可確保安裝可以正常工作，然后轉(zhuǎn)換為 Kerberos 約束委派和證書身份驗證。

　　一般來說，基于表單的身份驗證不能與啟用智能卡的 OWA 一同使用。基于表單的身份驗證需要用戶通過標(biāo)準(zhǔn)的 Outlook 表單提交用戶名和密碼。但是使用基于智能卡的雙重身份驗證，用戶將只擁有一個智能卡而沒有密碼。因此基于表單的身份驗證就不具有任何通過僅接受或提交證書來進(jìn)行身份驗證的方法。在通信鏈中的任何一處(例如在 ISA Server 后的某個前端服務(wù)器上)使用基于表單的身份驗證都將破壞啟用智能卡的 OWA 配置。如果您啟用基于表單的身份驗證，Exchange 虛擬目錄將被強制設(shè)置為“基本”身份驗證，同時 IIS 元數(shù)據(jù)庫也將被設(shè)置為“基本”身份驗證。

　　如果您的用戶既有用戶名/密碼又有智能卡，則您可以在 ISA Web 偵聽器上啟用回退身份驗證，當(dāng)用戶在收到提示輸入基于證書的憑據(jù)的信息后點擊 ESC 按鈕時，系統(tǒng)將提示輸入標(biāo)準(zhǔn)的用戶名/密碼憑據(jù)，即使在 Exchange 服務(wù)器上的 ISA Server 后啟用了集成身份驗證也如此。此外，ISA Server 可讓 SSL 會話超時，該功能與基于表單的身份驗證類似。

　　結(jié)束語

　　支持用智能卡來為 OWA 進(jìn)行身份驗證是 Exchange Server 2003 和 Exchange Server 2007 中的一項深受廣大用戶歡迎的新增功能。有了這種使用證書登錄 OWA 的能力，用戶就不再需要為記住那些又長又復(fù)雜的密碼而擔(dān)心，而管理員現(xiàn)在也有了有效的工具來防止擊鍵記錄器和其他形式的惡意軟件，避免了它們從受感染的系統(tǒng)中找到用戶憑據(jù)的風(fēng)險。有關(guān)詳細(xì)信息，請參見側(cè)欄上的“資源”。

為使用智能卡的雙重身份驗證正確配置 ISA Server，通過在已發(fā)布的 OWA 應(yīng)用程序上實施應(yīng)用程序級的篩選，可以進(jìn)一步增強總體的安全性。此外，ISA Server 2006 內(nèi)置了對通過簡單的發(fā)布向?qū)戆l(fā)布 Exchange Server 2003 和 Exchange Server 2007 的支持，因此對于正在轉(zhuǎn)為使用 Exchange Server 2007 的組織來說，先前對 ISA Server 所做的投資依然有效。