Share via

  • Article

Pare-feu pour Lync Server 2010

 

Dernière rubrique modifiée : 2012-07-18

La façon dont vous configurez vos pare-feu dépend en grande partie des pare-feu spécifiques utilisés au sein de votre organisation. Toutefois, chaque pare-feu doit également respecter des exigences en matière de configuration propres à Microsoft Lync Server 2010. Suivez les instructions du fabricant pour configurer chaque pare-feu, ainsi que les informations de cette section qui décrivent les paramètres applicables aux deux pare-feu.

Pour que l’adresse IP du service Edge A/V soit routable publiquement, le pare-feu externe du réseau de périmètre ne doit pas agir en tant que traducteur NAT pour cette adresse IP en cas d’utilisation d’un programme d’équilibrage de la charge DNS ou matérielle. Si le serveur Edge est un serveur Edge consolidé unique, Lync Server 2010 autorise l’utilisation d’un traducteur NAT pour les trois services Edge. Lors de l’utilisation de l’équilibrage de la charge DNS, vous pouvez utiliser le traducteur NAT pour tous les services Edge.

En outre, le pare-feu interne ne doit pas assumer la fonction de traducteur NAT pour l’adresse IP interne du service Edge A/V. Cette adresse doit être intégralement routable, depuis le réseau interne jusqu’à l’adresse IP interne du service Edge A/V.

Pour plus de détails sur la configuration des pare-feu internes et externes de votre réseau de périmètre, voir Détermination des conditions requises pour le pare-feu A/V externe et les ports dans la documentation relative à la planification.

Meilleures pratiques

Pour renforcer la sécurité de votre réseau de périmètre, nous vous conseillons de suivre les recommandations ci-dessous pour le déploiement des serveurs Edge :

  • Créez un sous-réseau pour Lync Server à partir de votre routeur.

  • Vérifiez que le trafic destiné au sous-réseau Lync Server n’est pas réacheminé vers d’autres sous-réseaux.

  • Sur le routeur d’origine, configurez des règles interdisant tout routage entre le sous-réseau Lync Server et les autres sous-réseaux (à l’exception d’un sous-réseau de gestion pouvant contenir des services d’administration pour le réseau de périmètre).

  • Sur votre routeur interne, interdisez toutes les diffusions ou multidiffusions provenant du sous-réseau Lync Server vers le réseau de périmètre.

  • Déployez des serveurs Edge entre deux pare-feu (interne et externe) pour garantir un routage strict d’un côté du réseau à l’autre.

En outre, pour améliorer les performances et le niveau de sécurité des serveurs Edge, mais aussi pour faciliter le déploiement, respectez les recommandations suivantes :

  • Déployez des serveurs Edge uniquement après avoir fini de déployer Lync Server 2010 au sein de votre organisation, à moins que vous n’effectuiez une migration de Microsoft Office Communications Server 2007 vers Lync Server 2010. Pour plus de détails sur le processus de migration, voir la documentation de Migration d’Office Communications Server 2007 R2 vers Lync Server 2010 et la documentation de Migration d’Office Communications Server 2007 vers Lync Server 2010.

  • Déployez des serveurs Edge dans un groupe de travail plutôt que dans un domaine. Cela simplifie l’installation et maintient les services AD DS (Active Directory Domain Services) en dehors du réseau de périmètre. Le fait de placer les services AD DS à dans le réseau de périmètre peut en effet présenter des risques de sécurité importants.

  • Déployez vos serveurs Edge dans un environnement temporaire ou de test avant de les déployer dans votre environnement de production. Ne déployez vos serveurs Edge dans votre réseau de périmètre que si le déploiement de test remplit les conditions requises et peut être reproduit avec succès dans un environnement de production.

  • Déployez au moins un Directeur assumant la fonction de passerelle d’authentification pour le trafic externe entrant.

  • Déployez des serveurs Edge sur des ordinateurs dédiés qui n’exécutent que les composants nécessaires. Désactivez tous les services inutiles et exécutez uniquement les programmes indispensables tels que ceux définissant la logique de routage, qui sont développés en langage MSPL (Microsoft SIP Processing Language), ou encore l’API Lync Server.

  • Activez le contrôle et l’audit dès que possible sur l’ordinateur.

  • Utilisez des ordinateurs équipés de deux cartes réseaux, afin de bénéficier d’une séparation physique entre les interfaces réseau interne et externe.