Firewalls para Lync Server 2010
Tópico modificado em: 2012-07-18
O modo como você configura os firewalls depende muito dos firewalls específicos usados na sua organização. No entanto, cada firewall tem requisitos de configuração comuns específicos para o Microsoft Lync Server 2010. Siga as instruções do fabricante para configurar cada firewall junto com as informações fornecidas nesta seção, que descreve as configurações que devem ser definidas nos dois firewalls.
Para estar de acordo com os requisitos de um endereço IP roteável publicamente do serviço de Borda A/V, o firewall externo da rede de perímetro não deve agir como um NAT para este endereço IP quando um balanceador de carga de hardware estiver em uso. Se o servidor de borda for um servidor de borda consolidada única, o Lync Server 2010 permite o uso de NAT para todos os três serviços de borda. Quando estiver usando um balanceador de carga de DSN, você pode usar NAT no firewaall para todos os serviços de borda.
Além disso, o firewall interno não deve agir como um NAT para o endereço IP interno do serviço de Borda A/V. o endereço IP interno do serviço de Borda A/V deve ser totalmente roteável da rede interna para o endereço IP interno do serviço de Borda A/V.
Para detalhes sobre como configurar os firewalls interno e externo da sua rede de perímetro, consulte Determinando requisitos de porta e de firewall A/V externo na documentação de Planejamento.
Práticas recomendadas
Para ajudar a melhorar a segurança da rede de perímetro, é recomendável implantar servidores de borda da seguinte forma:
Crie uma nova sub-rede fora do seu roteador para o Lync Server.
Verifique se o tráfego vindo para a sub-rede do Lync Server não é roteado para outras sub-redes.
Em seu roteador inicial, configure regras para garantir que não haja roteamento entre a sub-rede do seu Lync Server e outras sub-redes (com exceção de uma sub-rede de gerenciamento que pode incluir serviços de gerenciamento para sua rede de perímetro).
Em seu roteador interno, não permita transmissões ou multicasts provenientes da sub-rede do Lync Server na rede de perímetro.
Implante servidores de borda entre dois firewalls (um interno e outro externo) para garantir o roteamento estrito de uma borda da rede para a outra.
Além disso, para aprimorar o desempenho e a segurança do servidor de borda, além de facilitar a implantação, use as seguintes diretrizes ao estabelecer o processo de implantação:
Implante servidores de borda somente depois de concluir a implantação do Lync Server 2010 dentro da sua organização, a menos que esteja migrando do Microsoft Office Communications Server 2007 para o Lync Server 2010. Para detalhes sobre o processo de migração, consulte as documentações Migração do Office Communications Server 2007 R2 para o Lync Server 2010 e Migração do Office Communications Server 2007 para o Lync Server 2010.
Implante os servidores de borda em um grupo de trabalho, e não em um domínio. Isso simplifica a instalação e mantém os Serviços de Domínio Active Directory fora da rede de perímetro. Localizar os Serviços de Domínio Active Directory na rede de perímetro pode representar um risco significativo à segurança.
Implante os servidores de borda em um ambiente de teste ou de laboratório antes de implantá-los no ambiente de produção. Implante os servidores de borda na rede de perímetro somente quando tiver certeza de que a implantação de teste atende aos seus requisitos e pode ser incorporada com êxito em um ambiente de produção.
Implante pelo menos um Diretor para agir como um gateway de autenticação para o tráfego externo de entrada.
Implante servidores de borda em computadores dedicados que executem apenas o que for necessário. Isso inclui desabilitar serviços desnecessários e executar somente programas essenciais no computador, como aqueles que incorporam lógica de roteamento desenvolvidos usando a Linguagem de Processamento SIP da Microsoft (MSPL) e a API do Lync Server.
Habilite o mais cedo possível o monitoramento e a auditoria no computador.
Use um computador que tenha dois adaptadores de rede para oferecer a separação física das interfaces de rede interna e externa.