使用反向 Proxy 啟用遠端使用者存取

Communications Server 2007 R2

上次修改主題的時間: 2009-01-25

外部使用者 (亦即,組織防火牆外的使用者) 會將其網頁瀏覽器指向特別針對這些使用者所建立的虛擬伺服器,藉以登入 Communicator Web Access (2007 R2 版本)。如此,外部使用者可以直接存取 Communicator Web Access Server。不過,基於安全性理由,我們不鼓勵這種做法。相反地,我們強烈建議外部使用者先經過反向 Proxy 伺服器。

反向 Proxy 伺服器是執行 Proxy 伺服器軟體 (例如 Microsoft Internet Security and Acceleration (ISA) Server) 的電腦。反向 Proxy 伺服器位於周邊網路 (也稱為 DMZ 或非軍事區域) 內部,該網路位於企業內部網路和網際網路之間。當外部使用者嘗試連線到 Communicator Web Access 虛擬伺服器時,網域名稱系統 (DNS) 服務會自動將要求路由傳送到反向 Proxy 伺服器。接著,反向 Proxy 伺服器會將服務的要求轉送到 Communicator Web Access Server。對於使用者而言,完全感覺不到這段過程。在他們看來,反向 Proxy 伺服器就是 Communicator Web Access 伺服器。

這個單一存取點可讓系統管理員,更容易判斷誰可以連線到您的伺服器,和控制允許使用者存取的內容。此外,將伺服器名稱「隱藏」在反向 Proxy 後面,您還可以在不影響用戶端的情況下更換硬體或進行主機名稱變更。畢竟,不管在 Proxy 伺服器後面配置哪些電腦,使用者仍會繼續存取相同 URL。

Communicator Web Access 與市場上大部分的反向 Proxy 伺服器相容。也就是說,除了以下的例外情形之外,您幾乎可以使用任何反向 Proxy 軟體:如果您已經選擇使用單一登入驗證,則您必須使用網頁接聽程式啟用單一登入 (SSO) 的 Microsoft Internet Security and Acceleration (ISA) Server 2006。

不論您選擇使用哪個反向 Proxy 伺服器,建議該伺服器為工作群組成員,而非內部受信任網域的成員伺服器。這樣可以提供額外層級的安全性;萬一反向 Proxy 伺服器遭到入侵,攻擊者將只能存取該伺服器而無法存取內部網路。

基於效能考量,建議反向 Proxy 上不要安裝其他軟體。不過,當做 Communicator Web Access 的反向 Proxy 伺服器使用的電腦,也可以當做其他應用程式 (例如 Outlook Web Access) 的反向 Proxy 伺服器使用。

由於不同的反向 Proxy 伺服器是以不同的方式設定,因此,此文件將不會討論設定反向 Proxy 伺服器的詳細步驟。如需詳細資料,請參閱反向 Proxy 伺服器的文件。

顯示: