• Artikel

Firewallanforderungen für den Zugriff durch externe Benutzer

Letztes Änderungsdatum des Themas: 2010-04-16

Ihre Vorgehensweise bei der Konfiguration von Firewalls ist von den speziellen, in Ihrer Organisation verwendeten Firewalls abhängig. Alle Firewalls weisen jedoch gemeinsame, für Office Communications Server 2007 R2 erforderliche Konfigurationsanforderungen auf. Folgen Sie bei der Konfiguration einer Firewall den Anweisungen des Herstellers, und beachten Sie die Informationen in diesem Abschnitt. Sie enthalten Beschreibungen der Einstellungen, die bei internen und externen Firewalls konfiguriert werden müssen.

Öffentlich routingfähige IP-Adresse

An einem Standort, an dem mehrere Edgeserver hinter einem System zum Lastenausgleich bereitgestellt werden, darf eine externe Firewall nicht als NAT (Network Address Translation, Netzwerkadressenübersetzung) fungieren. An einem Standort, an dem jedoch nur ein einzelner Edgeserver bereitgestellt wird, kann die externe Firewall als NAT konfiguriert werden.

Konfigurieren Sie in diesem Fall die NAT als DNAT (Destination Network Address Translation, Zielnetzwerk-Adressenübersetzung) für eingehenden Datenverkehr. Das bedeutet, Sie konfigurieren alle Firewallfilter für den Datenverkehr vom Internet zum Edgeserver mit DNAT; die Firewallfilter für den Datenverkehr vom Edgeserver zum Internet (ausgehender Datenverkehr) konfigurieren Sie als SNAT (Source Network Address Translation, Quellnetzwerk-Adressenübersetzung). Die Filter für den eingehenden und ausgehenden Datenverkehr müssen, wie in Abbildung 1 dargestellt, derselben öffentlichen IP-Adresse und derselben privaten IP-Adresse zugeordnet werden.

Abbildung 1. DNAT- und SNAT-Beispielkonfiguration

Dd441361.6b3a5ede-4253-4874-b096-2e969bf52626(de-de,office.13).jpg

Die interne Firewall fungiert jedoch möglicherweise nicht in allen Topologien als NAT für die interne IP-Adresse des Edgeservers.

Dd441361.note(de-de,office.13).gifHinweis:
Microsoft Internet Security and Acceleration (ISA) Server wird nicht nur als Reverseproxy unterstützt, sondern auch als Firewall für Office Communications Server 2007 R2. Folgende Versionen von ISA werden als Firewall unterstützt:
  • ISA Server 2006
  • ISA Server 2004
Wenn Sie ISA Server als Firewall verwenden, kann dieses nicht als NAT konfiguriert werden, da ISA Server 2006 keine statische NAT unterstützt.

Standardports

In der folgenden Abbildung werden die Standardfirewallports für jeden Server im Umkreisnetzwerk veranschaulicht.

Abbildung 2. Standardfirewallports im Umkreisnetzwerk

Dd441361.e8cae4e4-4b71-45aa-9b07-676cd581d7e0(de-de,office.13).jpg

In den folgenden Abschnitten finden Sie zusätzliche Informationen zu den Ports, die für jede Serverrolle in jeder Topologie konfiguriert werden müssen. In den folgenden Tabellen verweisen die in der Spalte "Nummer in der Abbildung" angegebenen Ziffern auf die Nummern, die den Portbeschreibungen in der obigen Abbildung zugeordnet wurden.

Firewallrichtlinienregeln des Edgeservers

In den folgenden drei Tabellen werden die Firewallrichtlinienregeln beschrieben, die für den Edgeserver konfiguriert werden müssen. Diese Einstellungen werden in getrennten Tabellen aufgeführt, um darzustellen, welche Porteinstellungen von den einzelnen auf dem Edgeserver ausgeführten Diensten verwendet werden.

In den folgenden Abschnitten werden die Firewallrichtlinienregeln aufgelistet, die auf den einzelnen Servern im Umkreisnetzwerk erforderlich sind. In den Tabellen dieser Abschnitte entsprechen die Zahlen in der Spalte Nummer in der Abbildung den Zahlen in Abbildung 2.

Der in diesen Tabellen für die Richtung der Firewallrichtlinienregeln verwendete Begriff "ausgehend" ist folgendermaßen definiert:

  • An der internen Firewall bezieht er sich auf den Datenverkehr von den Servern des internen (privaten) Netzwerks zum Edgeserver im Umkreisnetzwerk.
  • An der externen Firewall bezieht er sich auf den Datenverkehr vom Edgeserver im Umkreisnetzwerk zum Internet.

Tabelle 1. Firewalleinstellungen für den Zugriffs-Edgedienst

Firewall Richtlinienregeln Nummer in der Abbildung

Intern

Lokaler Port: beliebig

Richtung: eingehend (für den Zugriff von Remote- und Verbundbenutzern)

Remoteport: 5061 TCP (TCP/MTLS)

Lokale IP-Adresse: die interne IP-Adresse des Zugriffs-Edgediensts

Remote-IP: die IP-Adresse des Servers für den nächsten Hop. Wenn ein Director bereitgestellt ist, verwenden Sie die IP-Adresse des Directors oder die VIP des Systems zum Lastenausgleich, sofern die Directors mit einem solchen System verbunden sind.

5

Intern

Lokaler Port: 5061 TCP (SIP/MTLS)

Richtung: ausgehend (für den Zugriff von Remote- und Verbundbenutzern)

Remoteport: beliebig

Lokale IP-Adresse: die interne IP-Adresse des Zugriffs-Edgediensts

Remote-IP: Wenn kein Director bereitgestellt wird, können Sie eine beliebige IP-Adresse verwenden. Wenn ein Director bereitgestellt wird, verwenden Sie die IP-Adresse des Directors oder die virtuelle IP-Adresse des Systems zum Lastenausgleich, sofern die Directors mit einem solchen System verbunden sind.

5

Extern

Lokaler Port: 5061 TCP (SIP/MTLS)

Richtung: eingehend/ausgehend (Verbund)

Remoteport: beliebig

Lokale IP: die externe IP-Adresse des Zugriffs-Edgediensts

Remote-IP: beliebige IP-Adresse

3

Extern

Lokaler Port: 443 TCP (SIP/TLS)

Richtung: eingehend (für den Zugriff von Remotebenutzern)

Remoteport: beliebig

Lokale IP: die externe IP-Adresse des Zugriffs-Edgediensts

Remote-IP: beliebige IP-Adresse

4

Extern

Lokaler Port: 53 DNS.

Richtung: Ausgehend (für DNS-Abfragen).

Remoteport: beliebig

Lokale IP: die externe IP-Adresse des Zugriffs-Edgediensts

Remote-IP: beliebige IP-Adresse

11

Extern

Lokaler Port: 80 HTTP.

Richtung: Ausgehend (zum Herunterladen von Zertifikatssperrlisten).

Remoteport: beliebig

Lokale IP: die externe IP-Adresse des Zugriffs-Edgediensts

Remote-IP: beliebige IP-Adresse

15
Dd441361.note(de-de,office.13).gifHinweis:
PSOM (Persistent Shared Object Model, Modell für beständige freigegebene Objekte) ist das proprietäre, von Microsoft für Webkonferenzen verwendete Protokoll.

Tabelle 2. Firewalleinstellungen für den Webkonferenz-Edgedienst

Firewall Richtlinienregeln Nummer in der Abbildung

Intern

Lokaler Port: 8057 TCP (PSOM/MTLS)

Richtung: ausgehend (für den Datenverkehr zwischen den internen Webkonferenzservern und dem Webkonferenz-Edgedienst)

Remoteport: beliebig

Lokale IP: die interne IP-Adresse des Webkonferenz-Edgediensts

Remote-IP: beliebige IP-Adresse

7

Extern

Lokaler Port: 443 TCP (PSOM/TLS)

Richtung: eingehend (für den Zugriff auf interne Webkonferenzen durch Remote-, anonyme und Verbundbenutzer)

Remoteport: beliebig

Lokale IP: die externe IP-Adresse des Webkonferenz-Edgediensts

Remote-IP: beliebige IP-Adresse

6

Tabelle 3. Firewalleinstellungen für den A/V-Edgedienst

Firewall Richtlinienregeln Nummer in der Abbildung

Intern

Lokaler Port: 443 TCP (STUN/TCP)

Richtung: Ausgehend (für die Übertragung von Mediendaten zwischen internen Benutzern und externen Benutzern).

Remoteport: beliebig

Lokale IP: die interne IP-Adresse des A/V-Edgediensts

Remote-IP: beliebige IP-Adresse

12

 Intern

Lokaler Port: 5062 TCP (SIP/MTLS)

Richtung: ausgehend (für die Authentifizierung von A/V-Benutzern)

Remoteport: beliebig

Lokale IP: die interne IP-Adresse des A/V-Edgediensts

Remote-IP: beliebige IP-Adresse

13

Intern

Lokaler Port: 3478 UDP (STUN/UDP)

Richtung: Ausgehend (für die Übertragung von Mediendaten zwischen internen Benutzern und externen Benutzern). Beachten Sie, dass es sich hierbei um die gängigste Einstellung handelt. Aufgrund der Eigenschaften von verschiedenen Firewalls und UDP sind für Ihre Firewalls möglicherweise andere Einstellungen erforderlich.

Remoteport: beliebig

Lokale IP: die interne IP-Adresse des A/V-Edgediensts

Remote-IP: beliebige IP-Adresse

Dd441361.note(de-de,office.13).gifHinweis:
Wenn Sie ISA Server als Firewall verwenden, müssen Sie die Regel für Senden/Empfangen konfigurieren.

14

Extern

Lokaler Port: 443 TCP (STUN/TCP)

Richtung: Eingehend (für den Zugriff auf Mediendaten und A/V-Sitzungen durch externe Benutzer).

Remoteport: beliebig

Lokale IP: die externe IP-Adresse des A/V-Edgediensts

Remote-IP: beliebige IP-Adresse

8

Extern

Lokaler Port: 3478 UDP (STUN/UDP)

Richtung: Eingehend/Ausgehend (für die Herstellung einer Verbindung mit Mediendaten und A/V-Sitzungen durch externe Benutzer) Beachten Sie, dass es sich hierbei um die gängigste Einstellung handelt. Aufgrund der Eigenschaften von verschiedenen Firewalls und UDP sind für Ihre Firewalls möglicherweise andere Einstellungen erforderlich.

Remoteport: beliebig

Lokale IP: die externe IP-Adresse des A/V-Edgediensts

Remote-IP: beliebige IP-Adresse

Dd441361.note(de-de,office.13).gifHinweis:
Wenn Sie ISA Server als Firewall verwenden, müssen Sie die Regel für Senden/Empfangen konfigurieren.

10

Extern

Lokaler Portbereich: 50.000-59.999 TCP (RTP/TCP) (Einzelheiten zu diesem Portbereich bei Partnern mit früheren Versionen von Office Communications Server finden Sie unter Portbereich 50.000 – 59.999.)

Richtung: Ausgehend (für die Übertragung von Mediendaten)

Remoteport: beliebig

Lokale IP: die externe IP-Adresse des A/V-Edgediensts

Remote-IP: beliebige IP-Adresse

9

Firewallrichtlinienregeln des Reverseproxys

In der folgenden Tabelle wird die für den Reverseproxy zu konfigurierende Firewallrichtlinie beschrieben.

Tabelle 4. Firewalleinstellungen für den Reverseproxy

Firewall Richtlinienregeln Nummer in der Abbildung

Intern

Lokaler Port: beliebig

Richtung: eingehend (für den Zugriff durch externe Benutzer auf Webkonferenzen)

Remoteport: 443 TCP (HTTP(S))

Lokale IP: die interne IP-Adresse des Reverseproxys

Remote-IP: beliebig

2

Extern

Lokaler Port: 443 TCP (HTTP(S))

Richtung: eingehend

Remoteport: beliebig

Lokale IP-Adresse: die externe IP-Adresse des HTTP-Reverseproxys

Remote-IP: beliebig

Dd441361.note(de-de,office.13).gifHinweis:
Wenn Sie Ihren Benutzern ermöglichen möchten, aus Ihrem Intranet heraus Verbindungen mit externen, von anderen Unternehmen gehosteten Konferenzen herzustellen, öffnen Sie Port 443 als ausgehenden Port.

1