Share via

  • Artikel

Firewalls für Office Communications Server 2007 R2

Letztes Änderungsdatum des Themas: 2009-05-22

Die Konfiguration Ihrer Firewalls hängt zum großen Teil davon ab, welche spezifischen Firewalls Sie in Ihrem Unternehmen verwenden. Jede Firewall verfügt jedoch über gängige Konfigurationsanforderungen, die für Office Communications Server 2007 R2 gelten. Folgen Sie bei der Konfiguration jeder Firewall den Anweisungen der Hersteller, und beachten Sie die Informationen in diesem Abschnitt, die die Einstellungen beschreiben, die bei den beiden Firewalls festgelegt werden müssen.

Um der Anforderung einer öffentlich routingfähigen IP-Adresse für den A/V-Edgedienst zu entsprechen, darf die externe Firewall des Umkreisnetzwerks nicht als ein NAT für diese IP-Adresse fungieren, wenn ein Hardwaregerät zum Lastenausgleich verwendet wird. Falls es sich um einen einzelnen, konsolidierten Edgeserver handelt, ermöglicht Office Communications Server 2007 R2 die Verwendung von NAT für alle drei Edgedienste.

Darüber hinaus darf die interne Firewall nicht als ein NAT für die interne IP-Adresse des A/V-Edgediensts fungieren. Die interne IP-Adresse des A/V-Edgediensts muss vollständig vom internen Netzwerk zur internen IP-Adresse des A/V-Edgediensts weitergeleitet werden können.

In der folgenden Abbildung werden die Standardfirewallports für jeden Server im Umkreisnetzwerk veranschaulicht. Ausführliche Informationen zur Konfiguration der internen und externen Firewalls Ihres Umkreisnetzwerks finden Sie unter Bereitstellen von Edgeservern für externen Benutzerzugriff.

Abbildung 1: Standardfirewallports für Server im Umkreisnetzwerk

Dd572904.75f1add0-23ec-4add-8738-719f68adccfa(de-de,office.13).jpg

Bewährte Methoden

Um die Sicherheit des Umkreisnetzwerks zu erhöhen, wird empfohlen, Edgeserver folgendermaßen bereitzustellen:

  • Erstellen Sie außerhalb Ihres Routers ein neues Subnetz für Office Communications Server.
  • Stellen Sie sicher, dass der für das Office Communications Server-Subnetz bestimmte Datenverkehr nicht an andere Subnetze weitergeleitet wird.
  • Konfigurieren Sie für den ursprünglichen Router Regeln, die sicherstellen, dass kein Routing zwischen dem Subnetz von Office Communications Server 2007 R2 und anderen Subnetzen stattfindet (mit Ausnahme eines Verwaltungssubnetzes, das Verwaltungsdienste für Ihr Umkreisnetzwerk umfasst).
  • Lassen Sie auf dem internen Router keine Übertragungen aus dem Subnetz von Office Communications Server 2007 R2 in das Umkreisnetzwerk zu.
  • Stellen Sie die Edgeserver zwischen zwei Firewalls (einer internen und einer externen Firewall) bereit, um ein strenges Routing von einer Netzwerkgrenze zur anderen sicherzustellen.

Halten Sie sich zusätzlich bei der Einrichtung des Bereitstellungsprozesses an folgende Richtlinien, um sowohl Leistung und Sicherheit der Edgeserver zu erhöhen als auch die Bereitstellung zu erleichtern:

  • Stellen Sie die Edgeserver erst bereit, nachdem Sie die Bereitstellung von Microsoft Office Communications Server 2007 R2 in der Organisation abgeschlossen haben, es sei denn, Sie migrieren von Microsoft Office Live Communications Server 2005 mit Service Pack 1 zu Microsoft Office Communications Server 2007 R2. Ausführliche Informationen zum Migrationsvorgang finden Sie unter Migration von Office Communications Server 2007.
  • Es empfiehlt sich, die Edgeserver nicht in einer Domäne, sondern in einer Arbeitsgruppe bereitzustellen. Dadurch wird die Installation vereinfacht und eine Verbindung zwischen Active Directory®-Domänendiensten und dem Umkreisnetzwerk vermieden. Eine Platzierung der Active Directory-Domänendienste im Umkreisnetzwerk kann ein ernsthaftes Sicherheitsproblem darstellen.
  • Stellen Sie die Edgeserver vor ihrer Bereitstellung in einer Produktionsumgebung zunächst in einer Staging- oder Laborumgebung bereit. Stellen Sie die Edgeserver erst dann im Umkreisnetzwerk bereit, wenn Sie überzeugt sind, dass die Testbereitstellung den Anforderungen entspricht und erfolgreich in eine Produktionsumgebung integriert werden kann.
  • Stellen Sie mindestens einen Director als Authentifizierungsgateway für den eingehenden externen Datenverkehr bereit.
  • Stellen Sie die Edgeserver auf dedizierten Computern bereit, auf denen lediglich erforderliche Anwendungen ausgeführt werden. Dies schließt die Deaktivierung nicht notwendiger Dienste ein. Auf dem Computer sollten nur unbedingt erforderliche Programme ausgeführt werden, etwa Programme mit Routinglogik, die für MSPL (Microsoft SIP Processing Language) und die Office Communications Server-API konzipiert sind.
  • Aktivieren Sie so früh wie möglich die Überwachung auf dem Computer.
  • Verwenden Sie einen Computer mit zwei Netzwerkadaptern, um die internen und externen Netzwerkschnittstellen physisch voneinander getrennt zu halten.