使用VPN还是使用RPC/HTTPS?

　　人们如何从公司防火墙保护的环境外部安全地连接到微软的Outlook?如果操作正确的话，通过VPN(虚拟专用网)连接到Outlook是一种经过了试验和测试的安全方法。如果你的用户仅需要访问Exchange，RPC over HTTPS是一种安全的替代方法。

　　让我们快速看一下在互联网上把Outlook连接到Exchange的可能的方法。

　　·使用SSL的Outlook Web Access(OWA over HTTPS)

　　·移动设备

　　·使用MAPI/RPC的完整的Outlook(不要这样做!)

　　·使用POP3或者IMAP4的Outlook

　　Outlook Web Access(OWA ,Outlook网络接入):OWA与每一个版本的Exchange一起进行了改进，是大多数用户使用的主要的远程连接方式。在IIS(互联网信息服务器)的/exchange虚拟目录中启用“需要SSL”和“需要128位加密”功能就很容易进行加密。

　　一个令人担心的OWA安全问题是，虽然信息是在磁盘上加密的，也许是在机场的售货亭加密的，但是，下载到硬盘的附件却没有加密。在Exchange 2003和2000软件中可能关闭这个功能。如果你需要一个允许这样加密文件的方法，Messageware公司能够把文件在Exchange服务器上翻译成HTTP格式并且在安全的OWA窗口中显示出来。即将发布的Exchange 2007能够正确地处理这种情况。这个软件还允许安全访问内部文件和SharePoint站点，当然，这都是在管理控制下完成的。

　　移动设备:运行Windows Mobile操作系统的掌上设备正在日益流行。Exchange包含让这些设备与Exchange服务器进行同步的功能。这个方式与OWA非常相似，你可以在IIS中的Server-ActiveSync虚拟服务器上部署SSL(安全套接层)。此外，设备上必须有一份服务器的SSL证书。以前的版本可能会绕过这个功能，但是，现在不再能够绕过这个功能了。

　　完整的Outlook:有些用户需要完整的Outlook客户端软件，这样，他们就能够有一个同步的邮箱。一般来说，这些用户群包括管理、销售、移动市场营销小组以及其它移动信息工人。

　　虽然使用本地的MAPI/RPC协议让Outlook实现在互联网上的连接是可能的，但是，我们无法打开我们防火墙上的端口实现这种连接。安全突破...、恶意软件...、职业限制措施等让我们无法实现这种连接。

　　POP3/IMAP4:使用Outlook连接到使用POP3或者IMAP4E的Exchange是可能的。它们都可以进行SSL加密，SMTP也可以加密(POP3和IMAP4使用SMTP作为他们的发送协议)。你可以在家里使用这些协议连接到一个ISP以便收发电子邮件。但是，大多数企业Exchange用户部门都在Exchange服务器上都关闭了这些功能，他们不打开他们的防火墙上的这些端口。

　　我们认为VPN是安全的，尽管VPN需要一个懂得如何管理它们的管理员。我的意思是你需要具体了解哪一些用户或者用户群能够访问哪些资源。安装一台VPN机器让所有的用户访问整个网络是很容易的。不过，我对使用VPN最担心的问题是有些用户把家里的计算机连接到企业网络。是的，有些用户整天都在玩计算机。SearchSecurity.com网站有许多关于VPN的文章。Outlook在这种环境下的工作是非常好的。Outlook 2003的缓存功能允许移动邮件实现真正的后台处理。

　　如果你的一些旅行用户仅需要访问Exchange，不需要访问你的内部网络，有一种替代的方法。RPC over HTTPS接收Outlook数据包(MAPI/RPC)，然后让这些数据包通过隧道穿过加密的HTTPS。回到你的环境内部，一个RPC代理服务可以解密这个数据包并且连接到Exchange服务器。。

　　应该指出的是，随着2007年的一批新产品的推出，RPC over HTTPS将有一个新的名字:“Outlook Anywhere”。虽然老的名字说起来很容易，但是，新名字明确说出了它能做什么。