配置 Internet 防火墙

 

上一次修改主题: 2005-05-26

在 Internet 方案中,防火墙通常放置在公司网络与 Internet 之间。此防火墙控制允许在 Internet 上的计算机与公司网络中的计算机之间建立的连接。在配置此防火墙时,应考虑通信的方向,这一点非常重要。有关端口方向的详细讨论,请参阅在前端/后端拓扑中使用防火墙中的“端口筛选”。

必须将防火墙配置为允许向特定 IP 地址发出请求和通过特定 TCP/IP 端口发出请求。下表列出不同服务所需的端口。这些端口针对入站通信(从 Internet 到前端服务器)。

Internet 防火墙上必须打开的端口

目标端口号/传输 协议

443/TCP 入站

HTTPS(通过 SSL 保护的 HTTP)

993/TCP 入站

通过 SSL 保护的 IMAP

995/TCP 入站

通过 SSL 保护的 POP

25/TCP 入站

SMTP

note注意:
在此表中,“入站”意味着应将防火墙配置为允许外部(在此例中为 Internet 上)计算机发起与前端服务器的连接。前端服务器从来不必发起与 Internet 上的计算机的连接;前端服务器只响应由 Internet 上的计算机发起的连接。

如果使用 ISA Server,则必须如下所述进行配置。(这些配置是常规指导。有关如何配置 ISA Server 的详细信息,请参阅 ISA Server 产品文档。)

  1. 为 SSL 配置侦听器。
  2. 创建包含 ISA 服务器的外部 IP 地址的目标集。将在 Web 发布规则中使用此目标集。
  3. 创建 Web 发布规则,以将请求重定向到内部前端服务器。
  4. 创建协议规则,以在 ISA Server 中打开用于传出通信的端口。
  5. 为 Outlook Web Access 配置 ISA 服务器。有关如何为 Outlook Web Access 配置 ISA Server 的信息,请参阅 Microsoft 知识库文章 307347“Secure OWA Publishing Behind ISA Server May Require Custom HTTP Header”(英文)。
 
显示: