Office Communications Server 2007 R2 的防火牆

Communications Server 2007 R2

上次修改主題的時間: 2009-05-22

您設定防火牆的方式主要是根據組織內使用的特定防火牆而定。不過,每一個防火牆都有 Office Communications Server 2007 R2 專用的一般設定需求。請遵循製造商對於每個防火牆的設定指示,同時參考本節所述資訊,內含關於兩道防火牆上必須設定的設定值。

為了符合 A/V Edge Service 對可公開路由 IP 位址的需求,使用硬體負載平衡器時,周邊網路上的外部防火牆不得做為此 IP 位址的 NAT 使用。如果 Edge Server 是單一合併 Edge Server,則 Office Communications Server 2007 R2 允許這三項 Edge Service 都使用 NAT。

此外,內部防火牆不得做為 A/V Edge Service 內部 IP 位址的 NAT 使用。A/V Edge Service 的內部 IP 位址必須可從內部網路完整路由傳送至 A/V Edge Service 的內部 IP 位址。

下圖說明周邊網路中每部伺服器的預設防火牆連接埠。如需設定周邊網路的內部和外部防火牆的詳細資訊,請參閱部署 Edge Server 以供外部使用者存取

圖 1. 周邊網路伺服器的預設防火牆連接埠
Dd572904.75f1add0-23ec-4add-8738-719f68adccfa(zh-tw,office.13).jpg

為了協助提升周邊網路的安全性,建議您以下列方式部署 Edge Server:

  • 為 Office Communications Server 建立全新的路由器子網路。
  • 確認傳入 Office Communications Server 子網路的流量不會路由傳送至其他子網路。
  • 在您的初始路由器中設定規則,以確保您的 Office Communications Server 2007 R2 子網路與其他子網路之間不會出現任何路由傳送情況 (可能包含周邊網路之管理服務的管理子網路除外)。
  • 在您的內部路由器上請勿允許任何源自 Office Communications Server 2007 R2 子網路的廣播或多點傳送封包傳入周邊網路。
  • 在兩個防火牆 (內部防火牆與外部防火牆) 之間部署 Edge Server,確保從某個網路邊緣傳入另一個網路邊緣的流量嚴格遵守路由規則。

此外,為了提升 Edge Server 效能與安全性,同時協助部署順利進行,請在建立部署程序時依循下列方針進行:

  • 只有當您在組織內部完成部署 Office Communications Server 2007 R2 之後,才開始部署 Edge Server,除非您是從 Microsoft Office Live Communications Server 2005 Service Pack 1 移轉至 Microsoft Office Communications Server 2007 R2。如需移轉程序的詳細資訊,請參閱從 Office Communications Server 2007 移轉
  • 在工作群組 (而不是網域) 中部署 Edge Server。這麼做可簡化安裝程序,同時將 Active Directory 網域服務保持在周邊網路外作業。將 Active Directory 網域服務設置在周邊網路中,可能帶來重大的安全風險。
  • 請先將 Edge Server 部署在臨時或實驗室環境中,之後再部署到生產環境中。如果測試部署符合您的需求而且可以完全整合到生產環境,才可在周邊網路中部署邊緣伺服器。
  • 至少部署一個 Director,做為傳入外部流量的驗證閘道。
  • 請將 Edge Server 部署在僅執行必要工作的專屬電腦上。意思就是在電腦上停用所有不必要的服務,並僅執行必要的程式,例如透過 Microsoft SIP Processing Language (MSPL) 與 Office Communications Server API 所開發並體現路由邏輯的相關程式。
  • 盡早在電腦上啟用監視和稽核功能。
  • 使用有兩個網路介面卡,並可實際區分內部和外部網路介面的電腦。
顯示: