Einrichten einer Front-End- und Back-End-Topologie mit einer erweiterten Firewall in einem Umgebungsnetzwerk

Letztes Änderungsdatum des Themas: 2006-08-16

Sie können eine Front-End- und Back-End-Topologie mit einer erweiterten Firewall. In der folgenden Abbildung wird das Front-End- und Back-End-Szenario mit einer erweiterten Firewall dargestellt. In diesem Szenario platzieren Sie den erweiterten Firewallserver innerhalb des Umgebungsnetzwerks und zwischen die Internetfirewall und die interne Firewall. Sie platzieren Front-End- und Back-End-Server im gleich Netzwerk hinter der internen Firewall.

Bevor Sie beginnen

Bevor Sie das in diesem Thema beschriebene Verfahren durchführen, lesen Sie bitte die folgenden Abschnitte:

• Szenarien für die Bereitstellung einer Front-End- und Back-End-Topologie
• Verwenden von ISA Server 2000 mit Exchange Server 2003

Verfahren

So richten Sie eine Front-End- und Back-End-Topologie mit einer erweiterten Firewall in einem Umgebungsnetzwerk ein

1. Befindet sich eine Firewall oder ein Anschlussfilter vor der erweiterten Firewall, konfigurieren Sie diese für Clientprotokolle und eingehende Anschlüsse: 443 (SSL HTTP), 993 (SSL POP3), 995 (SSL IMAP4) sowie für alle anderen Anschlüsse für eingehenden Datenverkehr (z. B. kann der SMTP-Datenverkehr durch diese Firewall ebenfalls erforderlich sein). Diese Firewall sollte den Zugriff auf bestimmte erweiterte Firewallserver beschränken.

2. (Optional) Wenn Sie eine Intranetfirewall zwischen der erweiterten Firewall und dem Intranet einsetzen, konfigurieren Sie die Intranetfirewall zur Öffnung bestimmter Anschlüsse, um den erforderlichen Netzwerkverkehr vom erweiterten Firewallserver (z. B. ein Server unter Microsoft® Internet Security und Acceleration (ISA) Server) zum Intranet zu unterstützen. Dabei würde es sich um ein beliebiges von der erweiterten Firewall über Proxy weitergeleitetes Protokoll handeln: Anschlüsse 40 oder 80 (je nach dem, ob die erweiterte Firewall SSL-Verschlüsselung unterstützt), 993 und 994. Weiterhin muss die Intranetfirewall Zugriff auf alle anderen Protokolle gewähren, die vom erweiterten Firewallserver je nach Tasks und Konfiguration benötigt werden. Dazu zählen unter Umständen Authentifizierung, DNS (Domain Name System) und Active Directory-Zugriff. Die genaue Liste richtet sich nach dem Sicherheitsstandard und den vom jeweiligen Unternehmen implementierten Features.

3. Konfigurieren Sie die erweiterte Firewall. Beachten Sie die folgenden allgemeinen Richtlinien, wenn Sie einen ISA-Server in einer Front-End- und Back-End-Topologie bereitstellen. (Detaillierte Informationen zum Konfigurieren von ISA Server finden Sie in der Produktdokumentation.)

   1. Konfigurieren Sie einen Listener für SSL.
   2. Erstellen Sie ein Zielset mit der externen IP-Adresse des ISA-Servers. Dieses Zielset wird in der Web-Veröffentlichungsregel festgelegt.
   3. Erstellen Sie eine Web-Veröffentlichungsregel, die die Anfragen an den internen Front-End-Server umleitet.
   4. Erstellen Sie Protokollregeln, um die Anschlüsse in ISA Server für ausgehenden Datenverkehr zu öffnen.

4. Konfigurieren Sie den ISA-Server für Microsoft Office Outlook® Web Access. (Informationen zum Konfigurieren eines ISA-Servers für Outlook Web Access finden Sie im Microsoft Knowledge Base-Artikel 307347, "Sichere OWA-Veröffentlichung hinter ISA Server kann benutzerdefinierten HTTP-Header erfordern.")