Requisitos de firewall para el acceso de usuarios externos
Última modificación del tema: 2010-04-16
El modo en que se configuran los firewalls depende en gran medida de los firewalls específicos que utilice la organización, pero cada firewall también tiene requisitos de configuración comunes que son necesarios para Office Communications Server 2007 R2. Para configurar cada firewall, siga las instrucciones del fabricante así como la información incluida en esta sección, en la que se describe la configuración que se debe definir en los firewalls internos y externos.
Dirección IP públicamente enrutable
En una ubicación con varios servidores perimetrales implementados detrás de un equilibrador de carga, el firewall externo no puede funcionar como traducción de direcciones de red (NAT). Sin embargo, en un sitio con un solo servidor perimetral implementado, el firewall externo puede configurarse como una NAT.
Si configura la NAT de este modo, configúrela como traducción de direcciones de red de destino (DNAT) para el tráfico entrante. Es decir, configure cualquier filtro de firewall utilizado para el tráfico desde Internet hasta el servidor perimetral como DNAT y configure cualquier filtro de firewall para el tráfico desde el servidor perimetral hasta Internet (tráfico saliente) como traducción de direcciones de red de origen (SNAT). Los filtros entrante y saliente deben asignarse a la misma dirección IP pública y la misma dirección IP privada, tal y como se muestra en la figura 1.
Figura 1. Configuración de DNAT y SNAT de ejemplo
.jpg "Dd441361.6b3a5ede-4253-4874-b096-2e969bf52626(es-es,office.13).jpg")
Sin embargo, el firewall interno no puede actuar en todas las topologías como una NAT para la dirección IP interna de los servidores perimetrales.
Nota
Además de admitirse como un proxy inverso, Microsoft Internet Security and Acceleration (ISA) se admite como firewall para Office Communications Server 2007 R2. Las versiones siguientes de ISA se admiten como firewall:
- ISA Server 2006
- ISA Server 2004
Puertos predeterminados
En la siguiente figura se muestran los puertos de firewall predeterminados para cada servidor de la red perimetral.
Figura 2. Puertos de firewall predeterminados en la red perimetral
.jpg "Dd441361.e8cae4e4-4b71-45aa-9b07-676cd581d7e0(es-es,office.13).jpg")
En las secciones siguientes se proporciona información adicional sobre los puertos que se deben configurar para cada una de las funciones de servidor en cada topología, además de asignarse los números de la figura anterior a las descripciones de puerto respectivas.
Reglas de directiva de firewall del servidor perimetral
En las tres tablas siguientes se describen las reglas de directiva de firewall que deben configurarse para el servidor perimetral. Estas configuraciones figuran en tablas independientes para mostrar la configuración de puerto que utiliza cada servicio que se ejecuta en el servidor perimetral.
En las secciones siguientes se muestran las reglas de directiva de firewall que se requieren en cada servidor de la red perimetral. En las tablas de estas secciones, los números de la columna Asignación de la figura se corresponden con los números de la figura 2.
En las tablas siguientes, la dirección de las reglas de directiva de firewall indicada como saliente se define de la siguiente forma:
- En el firewall interno, se corresponde con el tráfico desde los servidores en la red interna (privada) hasta el servidor perimetral en la red perimetral.
- En el firewall externo, se corresponde con el tráfico desde el servidor perimetral en la red perimetral hasta Internet.
Tabla 1. Configuración del firewall para el servicio perimetral de acceso
| Firewall | Reglas de directiva | Asignación de la figura |
|---|---|---|
Interno |
Puerto local: cualquiera. Dirección: entrante (para el acceso de usuarios remotos y la federación). Puerto remoto: 5061 TCP (TCP/MTLS). Dirección IP local: dirección IP interna del servicio perimetral de acceso. Dirección IP remota: dirección IP del servidor del próximo salto. Si se implementa un director, utilice la dirección IP del director o la dirección VIP del equilibrador de carga en caso de que se equilibre la carga de los directores. |
5 |
Interno |
Puerto local: 5061 TCP (SIP/MTLS). Dirección: saliente (para el acceso de usuarios remotos y la federación). Puerto remoto: cualquiera. Dirección IP local: dirección IP interna del servicio perimetral de acceso. Dirección IP remota: si no se ha implementado un director, se puede utilizar cualquier dirección IP. Si se ha implementado un director, utilice la dirección IP del director o la dirección IP virtual del equilibrador de carga en caso de que los directores tengan su carga equilibrada. |
5 |
Externo |
Puerto local: 5061 TCP (SIP/MTLS). Dirección: entrante/saliente (federación). Puerto remoto: cualquiera. Dirección IP local: dirección IP externa del servicio perimetral de acceso. Dirección IP remota: cualquier dirección IP. |
3 |
Externo |
Puerto local: 443 TCP (SIP/TLS). Dirección: entrante (para el acceso de usuarios remotos). Puerto remoto: cualquiera. Dirección IP local: dirección IP externa del servicio perimetral de acceso. Dirección IP remota: cualquier dirección IP. |
4 |
Externo |
Puerto local: 53 DNS. Dirección: saliente (para las consultas DNS). Puerto remoto: cualquiera. Dirección IP local: dirección IP externa del servicio perimetral de acceso. Dirección IP remota: cualquier dirección IP. |
11 |
Externo |
Puerto local: 80 HTTP. Dirección: saliente (para descargar las listas de certificados revocados). Puerto remoto: cualquiera. Dirección IP local: dirección IP externa del servicio perimetral de acceso. Dirección IP remota: cualquier dirección IP. |
15 |
Nota
El Modelo de objetos compartidos persistentes (PSOM) es el protocolo propiedad de Microsoft que se usa para las conferencias web.
Tabla 2. Configuración del firewall para el servicio perimetral de conferencia web
| Firewall | Reglas de directiva | Asignación de la figura |
|---|---|---|
Interno |
Puerto local: 8057 TCP (PSOM/MTLS) Dirección: saliente (para el tráfico entre servidores de conferencia web internos y el servicio perimetral de conferencia web) Puerto remoto: cualquiera Dirección IP local: dirección IP interna del servicio perimetral de conferencia web Dirección IP remota: cualquier dirección IP |
7 |
Externo |
Puerto local: 443 TCP (PSOM/TLS) Dirección: entrante (para el acceso de usuarios remotos, anónimos y asociados externos a las conferencias web internas) Puerto remoto: cualquiera Dirección IP local: dirección IP externa del servicio perimetral de conferencia web Dirección IP remota: cualquier dirección IP |
6 |
Tabla 3. Configuración del firewall para el servicio perimetral A/V
| Firewall | Reglas de directiva | Asignación de la figura |
|---|---|---|
Interno |
Puerto local: 443 TCP (STUN/TCP). Dirección: saliente (para la transferencia multimedia entre los usuarios internos y los externos). Puerto remoto: cualquiera. Dirección IP local: dirección IP interna del servicio perimetral A/V. Dirección IP remota: cualquier dirección IP. |
12 |
Interno |
Puerto local: 5062 TCP (SIP/MTLS). Dirección: saliente (para la autenticación de los usuarios de audio y vídeo). Puerto remoto: cualquiera. Dirección IP local: dirección IP interna del servicio perimetral A/V. Dirección IP remota: cualquier dirección IP. |
13 |
Interno |
Puerto local: 3478 UDP (STUN/UDP). Dirección: saliente (para la transferencia multimedia entre los usuarios internos y los externos). Observe que esta es la configuración más probable; debido a la naturaleza de UDP y los diferentes firewalls, es posible que su firewall requiera otra configuración. Puerto remoto: cualquiera. Dirección IP local: dirección IP interna del servicio perimetral A/V. Dirección IP remota: cualquier dirección IP. .gif "Dd441361.note(es-es,office.13).gif") Nota:
Si utiliza un servidor ISA como firewall, debe configurar la regla para enviar/recibir.
|
14 |
Externo |
Puerto local: 443 TCP (STUN/TCP). Dirección: entrante (para el acceso de usuarios externos a las sesiones de medios y A/V). Puerto remoto: cualquiera. Dirección IP local: dirección IP externa del servicio perimetral A/V. Dirección IP remota: cualquier dirección IP. |
8 |
Externo |
Puerto local: 3478 UDP (STUN/UDP). Dirección: entrante/saliente (para los usuarios externos que se conectan a las sesiones de medios o A/V). Observe que esta es la configuración más probable; debido a la naturaleza de UDP y los diferentes firewalls, es posible que su firewall requiera otra configuración. Puerto remoto: cualquiera. Dirección IP local: dirección IP externa del servicio perimetral A/V. Dirección IP remota: cualquier dirección IP. Nota:
Si utiliza un servidor ISA como firewall, debe configurar la regla para enviar/recibir.
|
10 |
Externo |
Intervalo de puertos locales: 50.000-59.999 TCP (RTP/TCP) (Para obtener información detallada sobre este intervalo de puertos en caso de federación con versiones anteriores de Office Communications Server, vea Intervalo de puertos 50.000 - 59.999.) Dirección: saliente (para la transferencia de medios). Puerto remoto: cualquiera. Dirección IP local: dirección IP externa del servicio perimetral A/V. Dirección IP remota: cualquier dirección IP. |
9 |
Reglas de directiva de firewall del proxy inverso
En la tabla siguiente se describe la directiva de firewall que se debe configurar para el proxy inverso.
Tabla 4. Configuración del firewall para el proxy inverso
| Firewall | Reglas de directiva | Asignación de la figura |
|---|---|---|
Interno |
Puerto local: cualquiera Dirección: entrante (para el acceso de usuarios externos a las conferencias web) Puerto remoto: 443 TCP (HTTP(S)) Dirección IP local: dirección IP interna del proxy inverso Dirección IP remota: cualquiera |
2 |
Externo |
Puerto local: 443 TCP (HTTP(S)) Dirección: entrante Puerto remoto: cualquiera Dirección IP local: dirección IP externa del proxy inverso HTTP Dirección IP remota: cualquiera Nota:
Si desea que los usuarios puedan conectarse desde la intranet a conferencias externas hospedadas por otras compañías, abra el puerto 443 al tráfico saliente.
|
1 |