配置 Internet 防火墙
上一次修改主题: 2005-05-26
在 Internet 方案中,防火墙通常放置在公司网络与 Internet 之间。此防火墙控制允许在 Internet 上的计算机与公司网络中的计算机之间建立的连接。在配置此防火墙时,应考虑通信的方向,这一点非常重要。有关端口方向的详细讨论,请参阅在前端/后端拓扑中使用防火墙中的“端口筛选”。
必须将防火墙配置为允许向特定 IP 地址发出请求和通过特定 TCP/IP 端口发出请求。下表列出不同服务所需的端口。这些端口针对入站通信(从 Internet 到前端服务器)。
Internet 防火墙上必须打开的端口
目标端口号/传输 | 协议 |
---|---|
443/TCP 入站 |
HTTPS(通过 SSL 保护的 HTTP) |
993/TCP 入站 |
通过 SSL 保护的 IMAP |
995/TCP 入站 |
通过 SSL 保护的 POP |
25/TCP 入站 |
SMTP |
注意: |
---|
在此表中,“入站”意味着应将防火墙配置为允许外部(在此例中为 Internet 上)计算机发起与前端服务器的连接。前端服务器从来不必发起与 Internet 上的计算机的连接;前端服务器只响应由 Internet 上的计算机发起的连接。 |
配置 ISA Server
如果使用 ISA Server,则必须如下所述进行配置。(这些配置是常规指导。有关如何配置 ISA Server 的详细信息,请参阅 ISA Server 产品文档。)
- 为 SSL 配置侦听器。
- 创建包含 ISA 服务器的外部 IP 地址的目标集。将在 Web 发布规则中使用此目标集。
- 创建 Web 发布规则,以将请求重定向到内部前端服务器。
- 创建协议规则,以在 ISA Server 中打开用于传出通信的端口。
- 为 Outlook Web Access 配置 ISA 服务器。有关如何为 Outlook Web Access 配置 ISA Server 的信息,请参阅 Microsoft 知识库文章 307347“Secure OWA Publishing Behind ISA Server May Require Custom HTTP Header”(英文)。