Configurazione di un firewall Intranet
Ultima modifica dell'argomento: 2006-04-14
In questo argomento viene illustrato l'utilizzo di una rete perimetrale che include sia un firewall esterno che un firewall interno. Nelle seguenti sezioni viene descritto come configurare la rete perimetrale, il firewall Intranet e il server ISA per consentire a Exchange di funzionare correttamente.
Novità di SP2 Con la versione di Microsoft® Exchange Server 2003 Service Pack 2 (SP2), Microsoft ha introdotto la tecnologia "Direct Push" che consente a Exchange ActiveSync® di recapitare immediatamente i messaggi di posta elettronica al dispositivo portatile appena arrivano sul server. Con la tecnologia Direct Push, ogniqualvolta il server back-end riceve la posta elettronica o i dati da trasmettere a un dispositivo portatile il server invia una notifica UDP al server front-end. Questa trasmissione richiede che la porta UDP 2883 sia aperta sul firewall per permettere il traffico unidirezionale dal server back-end al server front-end.
Per ulteriori informazioni sull'implementazione della tecnologia Direct Push e sul suo effetto sulla configurazione del firewall, vedere il seguente articolo del blog di Exchange Server (informazioni in lingua inglese):
Direct Push is just a heartbeat away.
Nota
Il contenuto di ogni blog e il relativo URL sono soggetti a modifiche senza preavviso.
Server firewall avanzato nella rete perimetrale
Quando il server firewall avanzato (ad esempio ISA) non è anche il firewall Intranet (quando esiste un ulteriore firewall tra il firewall avanzato e il server front-end), è necessario aprire le porte di protocollo necessarie nel firewall Intranet per consentire al server firewall avanzato di inoltrare le richieste.
Porte di protocollo necessarie per consentire al server firewall avanzato di inoltrare le richieste
| Numero porta di destinazione/trasporto | Protocollo |
|---|---|
443/TCP in ingresso o 80/TCP in ingresso |
HTTPS (HTTP protetto da SSL) o HTTP, a seconda che il firewall avanzato (quale ISA) esegua la ripartizione del carico di lavoro della crittografia SSL o meno |
993/TCP in ingresso |
IMAP protetto da SSL |
995/TCP in ingresso |
POP protetto da SSL |
25/TCP in ingresso |
SMTP |
Possono essere necessarie porte aggiuntive se il firewall avanzato esegue attività come l'autenticazione degli utenti. Per ulteriori informazioni, vedere la documentazione relativa al firewall avanzato in uso.
Nota
Altri fornitori di firewall potrebbero consigliare di effettuare impostazioni di configurazione aggiuntive nei singoli prodotti per la frammentazione IP.
Server front-end nella rete perimetrale
Se collocato in una rete perimetrale, il server front-end deve riuscire ad avviare le connessioni ai server back-end e ai server di servizio di directory di Active Directory®. Pertanto si configurerà il firewall interno con una regola che consente il traffico in ingresso sulla porta 80 dalla rete perimetrale alla rete aziendale. Questa regola non consente il traffico in uscita sulla porta 80 dall'interno della rete aziendale al server front-end. Tutte le informazioni relative alle porte riportate di seguito si riferiscono alle porte in ingresso che trasportano il traffico dal server nella rete perimetrale ai server back-end.
Nota
Il metodo preferito di distribuzione prevede che il server front-end sia collocato nell'Intranet con i server back-end e che utilizzi un firewall avanzato come rete perimetrale. È necessario seguire le istruzioni di questa sezione solo se esistono esigenze particolari che richiedono di posizionare il server front-end di Exchange nella rete perimetrale.
Protocolli di base
In ogni caso, tutte le porte di protocollo supportate devono essere aperte sul firewall interno. Non è necessario aprire le porte SSL perché SSL non viene utilizzato nella comunicazione tra il server front-end e i server back-end. Le porte necessarie per il firewall Intranet sono elencate nella seguente tabella. Queste porte sono specifiche del traffico in ingresso (dal server front-end ai server back-end).
Porte di protocollo necessarie per il firewall Intranet
| Numero porta/trasporto | Protocollo |
|---|---|
80/TCP in ingresso |
HTTP |
143/TCP in ingresso |
IMAP |
110/TCP in ingresso |
POP |
25/TCP in ingresso 691/TCP |
SMTP Routing mediante algoritmo stato collegamenti |
Nota
In questa tabella, "in ingresso" indica che il firewall deve essere configurato per consentire ai computer nella rete perimetrale, come il server firewall avanzato, di avviare le connessioni al server front-end nella rete aziendale. Il server front-end non deve mai avviare connessioni ai computer nella rete perimetrale. Il server front-end risponde solo alle connessioni avviate dai computer nella rete perimetrale.
Comunicazione di Active Directory
Per comunicare con Active Directory, il server front-end di Exchange richiede che le porte LDAP siano aperte. TCP e UDP sono necessari: Windows sul server front-end invierà una richiesta 389/UDP LDAP a un controller di dominio per verificare se esso è disponibile per l'utilizzo; dopodiché il traffico LDAP utilizza TCP. Viene utilizzata anche l'autenticazione Kerberos di Windows; pertanto anche le porte Kerberos devono essere aperte. Sia TCP che UDP sono richiedi anche da Kerberos: Windows utilizza UDP/88 per impostazione predefinita, ma quando i dati superano le dimensioni massime del pacchetto per UDP utilizza TCP. Nella seguente tabella sono elencate le porte richieste per comunicare con Active Directory e Kerberos.
Porte necessarie per la comunicazione di Active Directory e per Kerberos
| Numero porta/trasporto | Protocollo |
|---|---|
389/TCP |
LDAP al servizio di directory |
389/UDP |
|
3268/TCP |
LDAP al server di catalogo globale |
88/TCP |
Autenticazione Kerberos |
88/UDP |
|
Esistono due insiemi di porte facoltative che possono essere aperte nel firewall. La decisione di aprirle dipende dai criteri della società. Ogni decisione implica compromessi nelle aree della protezione, della semplicità di amministrazione e della funzionalità.
Domain Name Service (DNS)
Il server front-end necessita dell'accesso a un server DNS per cercare correttamente i nomi dei server (ad esempio per convertire i nomi dei server in indirizzi IP). Nella seguente tabella sono elencate le porte necessarie per l'accesso.
Se non si desidera aprire queste porte, è necessario installare un server DNS sul server front-end e immettere i mapping tra i nomi e gli IP appropriati per tutti i server che il server DNS potrebbe richiedere di contattare. È necessario configurare inoltre tutti i record SRV di Active Directory perché il server front-end deve riuscire a individuare i controller di dominio. Se si sceglie di installare un server DNS, assicurarsi di mantenere questi mapping aggiornati quando si apportano modifiche all'organizzazione.
Porte necessarie per l'accesso al server DNS
| Numero porta/trasporto | Protocollo |
|---|---|
53/TCP |
Ricerca DNS |
53/UDP |
|
Nota
La maggior parte dei servizi utilizza UDP per le ricerche DNS e utilizza TCP solo quando la query supera le dimensioni massime di pacchetto. Il servizio SMTP di Exchange tuttavia utilizza TCP per impostazione predefinita per le ricerche DNS. Per ulteriori informazioni, vedere l'articolo 263237 della Microsoft Knowledge Base, "XCON: Windows 2000 ed Exchange 2000 SMTP utilizzano query DNS TCP".
IPSec
Nella seguente tabella sono elencati i requisiti per consentire il traffico IPSec attraverso il firewall Intranet. È necessario attivare solo la porta che riguarda il protocollo che si configura; ad esempio, se si sceglie di utilizzare ESP, si deve consentire solo il protocollo IP 50 attraverso il firewall.
Porte necessarie per IPSec
| Numero porta/trasporto | Protocollo |
|---|---|
Protocollo IP 51 |
AH (Authentication Header) |
Protocollo IP 50 |
ESP (Encapsulating Security Payload) |
500/UDP |
IKE (Internet Key Exchange) |
88/TCP |
Kerberos |
88/UDP |
|
Chiamate di procedure remota (RPC)
DSAccess non utilizza più RPC per eseguire il rilevamento del servizio di Active Directory. Tuttavia, poiché il server front-end è configurato per autenticare le richieste, IIS deve avere l'accesso RPC ad Active Directory per autenticare le richieste. È necessario pertanto aprire le porte RPC elencate nella seguente tabella "Porte RPC richieste per l'autenticazione".
Arresto del traffico RPC
Se si dispone di una rete perimetrale bloccata in cui il server front-end non può autenticare gli utenti, è possibile non venga consentita l'apertura delle porte RPC elencate nella tabella "Porte RPC richieste per l'autenticazione" riportata di seguito. Senza queste porte RPC, il server front-end non può eseguire l'autenticazione. È possibile configurare il server front-end in modo da consentire l'accesso anonimo, ma è necessario comprendere i rischi di tale operazione. Per ulteriori informazioni, vedere Meccanismi di autenticazione per HTTP.
Invece di arrestare tutto il traffico RPC, si consiglia di limitarlo aprendo una sola porta (come descritto nella sezione successiva).
Limitazione del traffico RPC
Se si desidera utilizzare le funzionalità che richiedono RPC, come l'autenticazione o l'accesso implicito, ma non si desidera aprire l'ampio intervallo di porte superiori a 1024, è possibile configurare i controller di dominio e i server di catalogo globale per l'utilizzo di una singola porta conosciuta per tutto il traffico RPC. Per ulteriori informazioni su come limitare il traffico RPC, vedere l'articolo 224196 della Microsoft Knowledge Base, "Limitazione del traffico di replica di Active Directory a una porta specifica".
Per autenticare i client, la chiave del Registro di sistema (descritta nell'articolo della Knowledge Base suddetto ed elencata di seguito) deve essere impostata su qualsiasi server che il server front-end potrebbe contattare con chiamate RPC, ad esempio un server di catalogo globale. Impostare la seguente chiave del Registro di sistema su una porta specifica, quale 1600:
HKEY_LOCAL_MACHINE\CurrentControlSet\Services\NTDS\Parameters
Valore del Registro di sistema: porta TCP/IP Tipo valore: REG_DWORD Dati valore: (porta disponibile)
Sul firewall tra la rete perimetrale e la rete Intranet è necessario aprire solo due porte per le comunicazioni RPC: `` il mapper della porta RPC (135) e la porta specificata (porta 1600, come riportato nella seguente tabella). Il server front-end innanzitutto tenta di contattare i server back-end con chiamate RPC sulla porta 135 e il server back-end restituisce la porta RPC che utilizza effettivamente.
Nota
Amministratore di sistema di Exchange utilizza le chiamate RPC per amministrare il server di Exchange. Si consiglia di non utilizzare Amministratore di sistema di Exchange in un server front-end per amministrare i server back-end poiché ciò richiede la configurazione dell'accesso RPC dal front-end a ciascun server back-end. Per amministrare i server back-end utilizzare invece Amministratore di sistema di Exchange da un computer client di Exchange o da un server back-end. È comunque possibile utilizzare Amministratore di sistema di Exchange sul server front-end per amministrare il server front-end stesso.
Porte RPC necessarie per l'autenticazione
| Numero porta/trasporto | Protocollo |
|---|---|
135/TCP |
Mapping di endpoint della porta RPC |
1024 +/TCP oppure 1600/TCP |
Porte di servizio casuali (Esempio) Porta di servizio RPC specifica, se la porta è limitata. |