在介绍完ISA防火墙配置之后，终于今天可以开始探讨如何运用ISA发布企业内部的服务器了。这次我们使用OWA来做客户端的验证。在通常情况下，员工如果出差在外，则使用企业内部邮件用OWA是最佳的方法，配置容易并且操作简单。相对OE来说，OWA在服务器上的操作能稍微繁琐，而在客户端不需要设置，这样就方便了员工使用邮件服务器。

      这样不但实现了安全，并且只需要建立内部到DMZ区的访问规则就可以实现双网卡时候的功能。我们使用拥有Exchange 2007，DNS ，DC为一身的windows server 2003为服务器，一台加入域的windows server 2003成为ISA ， 一台windows server 2003为internet上的主机。

首先对IP地址进行规划，因为涉及网络较多，在学习的时候容易对IP地址的配置产生混淆，所以本次将IP地址进行详细规划。

Exchange2007 IP 172.16.100.1 网关 172.16.100.2 掩码255.255.255.0 DNS 172.16.100.1

ISADMZ区网卡 172.16.100.2 掩码255.255.255.0 DNS 172.16.100.1

ISA外网卡 192.168.99.1 掩码255.255.255.0 DNS 172.16.100.1

      内部网络这里就不配置了。操作步骤前面文章中都有讲解。

      我们在Exchange 服务器上搭建CA服务，然后申请。

在添加删除组建中，添加证书。

      在域中我们可以部署企业根。

      然后下一步就可以安装了，在安装过程中，系统会提示我们关闭IIS程序，确定之后会自动关闭。

然后打开IIS管理器，右键默认网站选择属性。

因为证书服务和exchange服务器在同一台机器上，所以我们选择立刻颁发。

安装成功之后，选择查看证书，将证书导出。

因为我们要在ISA上装上跟邮件服务器同样的证书，所以我们要导出私钥。

      然后我们进入https://127.0.0.1/certsrv 安装和下载证书链， 证书链同样要导出然后复制到ISA防火墙中。访问过程中，需要我们键入管理员的账户和密码。

进入页面之后选择下载安装证书链。

      将导出的证书和证书链复制或用移动设备导入到ISA防火墙中。所谓安装证书链，就是使安装的计算机信任此CA颁发的证书，所以导出的证书安装在ISA防火墙的计算机的个人证书中，而证书链导入在受信任的证书中。使用MMC管理控制台导入，操作非常简单，这里就不截图了。

证书服务配置完成后，开始发布我们的邮件服务器。

因为我们要用owa安全网页访问，所以这里选择Exchange web的发布。

然后选择exchange 2007 的OWA模式

这里我们发布的是安全网站，所以需要选择https发布

发布完成之后我们需要在DNS上创建一条A记录和MX记录，所以这里添写的内部站点名称必须和DNS中保持一致，在下一步之后填写仍然如此，路径的添加我们为空就可以了。

下一步之后需要我们新建侦听器，同样选择SSL安全模式，因为要用Internet上的用户访问，所以这里选择外部。

然后选择我们刚刚申请的证书。

选择html窗体身份验证。

设置完成侦听器后，需要选择防火墙的身份验证，我们选择基本身份验证。

设置完成后，应用就完成了发布。我们使用一台windows server 2003模仿Internet用户访问，如果没有DNS支持，修改本地HOSTS文件即可。

      已经可以正常访问了，过程还是非常容易，需要理解证书的作用，将exchange2007中的证书包括私钥全部导入ISA防火墙中，外部网络就只能当ISA防火墙为他访问的邮件服务器了，就实现了企业内部网络的安全。

本文转自 郑伟  51CTO博客，原文链接:http://blog.51cto.com/zhengweiit/316986