Firewall per Lync Server 2010
Ultima modifica dell'argomento: 2012-07-18
La modalità di configurazione dei firewall dipende in gran parte dai firewall specifici in uso nell'organizzazione. Ogni firewall, tuttavia, presenta requisiti di configurazione comuni specifici per Microsoft Lync Server 2010. Seguire le istruzioni fornite dal produttore per configurare ciascun firewall, insieme alle informazioni incluse in questa sezione, che indicano le impostazioni da configurare per i due firewall.
Ai fini della conformità con il requisito di un indirizzo IP instradabile pubblicamente del servizio A/V Edge Server, il firewall esterno della rete perimetrale non può fungere da NAT per l'indirizzo IP quando è in uso un servizio di bilanciamento del carico hardware. Se il server perimetrale è un singolo server perimetrale consolidato, Lync Server 2010 consente l'utilizzo di NAT per tutti e tre i servizi Edge. Quando viene utilizzato il bilanciamento del carico DNS, è possibile utilizzare NAT nel firewall per i servizi Edge.
Inoltre, il firewall interno non può fungere da NAT per l'indirizzo IP interno dell'A/V Edge Server. L'indirizzo IP interno dell'A/V Edge Server deve essere completamente instradabile dalla rete interna all'indirizzo IP interno dell'A/V Edge Server.
Per informazioni dettagliate sulla configurazione dei firewall interno ed esterno della rete perimetrale, vedere Determinazione dei requisiti di porte e firewall A/V esterni nella documentazione relativa alla pianificazione.
Procedure consigliate
Per migliorare la sicurezza della rete perimetrale, è consigliabile distribuire i server perimetrali nei modi seguenti:
Creare una nuova subnet dal router per Lync Server.
Verificare che il traffico proveniente dalla subnet Lync Server non venga indirizzato ad altre subnet.
Nel router iniziale configurare le regole per garantire che non venga eseguito alcun routing tra la subnet Lync Server e altre subnet, ad eccezione di una subnet di gestione che può includere i servizi di gestione per la rete perimetrale.
Nel router interno non consentire le trasmissioni o i multicast provenienti dalla subnet Lync Server nella rete perimetrale.
Distribuire i server perimetrali tra due firewall, uno interno e uno esterno, per garantire l'esecuzione di routing vincolato da un perimetro all'altro della rete.
Per aumentare la sicurezza e le prestazioni dei server perimetrali e semplificarne la distribuzione, inoltre, utilizzare le linee guida seguenti nel determinare il processo di distribuzione:
Distribuire i server perimetrali solo dopo avere completato la distribuzione di Lync Server 2010 nell'organizzazione, a meno che non si stia si sta eseguendo la migrazione da Microsoft Office Communications Server 2007 a Lync Server 2010. Per informazioni dettagliate sul processo di migrazione, vedere la documentazione Migrazione da Office Communications Server 2007 R2 a Lync Server 2010 e la documentazione Migrazione da Office Communications Server 2007 a Lync Server 2010.
Distribuire i server perimetrali in un gruppo di lavoro anziché in un dominio. In tal modo si semplifica l'installazione e Servizi di dominio Active Directory viene mantenuto al di fuori della rete perimetrale. La presenza di Servizi di dominio Active Directory nella rete perimetrale potrebbe costituire un grave rischio per la sicurezza.
Distribuire i server perimetrali in un ambiente di gestione temporanea o di lavoro prima di distribuirli nell'ambiente di produzione. Distribuire i server perimetrali nella rete perimetrale solo quando si ritiene che la distribuzione di test soddisfi i requisiti e che possa essere incorporata correttamente in un ambiente di produzione.
Distribuire almeno un Director che funga da gateway di autenticazione per il traffico esterno in ingresso.
Distribuire i server perimetrali in computer dedicati che eseguono solo i componenti necessari. Ciò comporta la disabilitazione dei servizi non necessari e l'esecuzione dei soli programmi essenziali nel computer, ad esempio i programmi contenenti logica di routing e sviluppati tramite MSPL (Microsoft SIP Processing Language) e l'API di Lync Server API.
Abilitare al più presto il monitoraggio e il controllo sul computer.
Utilizzare computer dotati di due schede di rete per separare fisicamente le interfacce di rete interna ed esterna.