Есть ли способ безопасно опубликовать Outlook Web Access на Exchange 2007 без использования ISA-сервера?
Это зависит от вашего определения безопасного. Многие компании открывают свои серверы клиентского доступа в Интернет, не имея ничего, кроме традиционного брандмауэра перед ним, открывая только порт 443. Если вы это сделаете, было бы разумно отслеживать ежемесячные патчи Microsoft и поддерживать сервер в актуальном состоянии с помощью Патчи Windows и Exchange. Если вам неудобно это делать, то по определению вам нужен брандмауэр приложения. ISA - это обычный выбор. Другие варианты Firewal веб-приложения Barracudaл или Citrix NetScaler. Если вы используете аппаратный балансировщик нагрузки, он также может иметь некоторые возможности брандмауэра приложений. Например, F5 публикует Руководство по развертыванию для Exchange, который включает шаги по повышению безопасности Outlook Web Access и других протоколов для доступа к Exchange через их BigIP.
Я бы посмотрел, как сделать сервер apache на Linux-сервере, сидящем перед owa. Таким образом, когда вашему клиенту нужен доступ, он сначала проходит через этот шлюз.