Olá, Marcelo;
Sobre a inclusão de um ISA 2k4 como equipamento de segurança no seu ambiente, particularmente o de Exchange, muitos pontos têm que ser levados em consideração. Não é uma tarefa nada simples, por menor que seja o ambiente.
Em primeiro lugar, o correto é atualizar para o ISA 2006.
Não é simples porque é necessário que nos atentemos para diversas configurações (boas práticas) que têm que ser implementadas corretamente quanto às mudanças no ambiente e também quanto à ordem em que serão feitas as mudanças.
Resumindo, tome bastante cuidado para não ter a dor de cabeça de ter alguma funcionalidade parada no seu ambiente e ter que ficar investigando onde errou.
Para implementar o Exchange 2010 em um ambiente com o ISA 2k4 você precisará mudar TODAS as regras que envolvam o CAS ou acesso de clientes.
Se usar o ISA 2k4 você vai precisar criar novas regras de publicação para a Web ou para publicação dos servidores, principalmente para o servidor CAS. No link abaixo você encontra uma tabela com os Virtual Directories que têm que ser usados como "caminhos"
para as regras de Internet e de publicação dos servidores quando do acesso dos clientes para os servidores.
Utilize SOMENTE os caminhos para as aplicações clientes que realmente necessite executar. Por exemplo: se você não planeja usar o recurso de ActiveSync, NÃO publique o diretório virtual Microsoft-Server-ActiveSync.
http://technet.microsoft.com/en-us/library/aa998036(v=exchg.141).aspx
AS PORTAS DEVEM SER LIBERADAS PARA OUTBOUND E INBOUND ("ida e volta").
Exchange 2010 Security Guide:
http://technet.microsoft.com/en-us/library/bb691338(v=exchg.141).aspx
Estude a opção de implementar servidores Edge no ambiente.
At.,
De Lucca
