Utilizar un proxy inverso para habilitar el acceso de usuarios remotos
Última modificación del tema: 2009-01-25
Los usuarios externos (es decir, los que están fuera del firewall de la organización) inician sesión en Communicator Web Access (versión 2007 R2) apuntando su explorador web hacia un servidor virtual creado especialmente para ellos. Es posible que los usuarios externos tengan acceso directamente al servidor Communicator Web Access. Sin embargo, esta no es una práctica recomendada por motivos de seguridad. En lugar de ello, es absolutamente recomendable que los usuarios externos pasen primero por un servidor proxy inverso.
Un servidor proxy inverso es un equipo que ejecuta software del servidor proxy como Microsoft Internet Security and Acceleration (ISA) Server. El servidor proxy inverso se encuentra dentro de la red perimetral (denominada también DMZ o zona desmilitarizada), que es una red situada entre la red corporativa interna e Internet. Cuando un usuario externo intenta conectarse a un servidor virtual de Communicator Web Access, el Sistema de nombres de dominio (DNS) enruta automáticamente la solicitud al servidor proxy inverso. A continuación, el servidor proxy inverso reenvía la solicitud de servicio al servidor Communicator Web Access. Para los usuarios finales este proceso es completamente transparente. Para ellos el servidor proxy inverso es el servidor Communicator Web Access.
Tener un único punto único de acceso permite a los administradores determinar fácilmente quién puede y quién no puede conectarse a los servidores, así como controlar el contenido al que los usuarios tienen acceso. "Ocultar" los nombres de los servidores detrás del proxy inverso permite también cambiar el hardware o realizar cambios en los nombres de host sin que los clientes resulten afectados. Los usuarios continuarán en la misma dirección URL independientemente de los equipos que se encuentren detrás del servidor proxy.
Communicator Web Access es compatible con la mayoría de los servidores proxy inversos del mercado. Por consiguiente, en la mayoría de los casos puede utilizar cualquier software de proxy inverso, con una excepción: si ha decidido utilizar la autenticación de inicio de sesión único, debe utilizar Microsoft Internet Security and Acceleration (ISA) Server 2006 con el inicio de sesión único (SSO) habilitado en el agente de escucha web.
Cualquiera que sea el servidor proxy inverso que decida utilizar, es recomendable que este servidor sea miembro del grupo de trabajo y no un servidor miembro del dominio interno de confianza. Con ello conseguirá un nivel adicional de seguridad. Si se comprometiera la seguridad del servidor proxy inverso, los atacantes solo tendrían acceso a ese servidor y no a la red interna.
Por motivos de rendimiento, se recomienda no instalar ningún otro software en el servidor proxy inverso. Sin embargo, el mismo equipo que actúa como servidor proxy inverso para Communicator Web Access se puede utilizar también como servidor proxy inverso para otras aplicaciones (como Outlook Web Access).
Dado que los distintos servidores proxy inversos se configuran de manera diferente, en este documento no se describen los pasos detallados para configurar un servidor proxy inverso. Para obtener información detallada, vea la documentación del servidor proxy inverso.