Чтобы поменять прокси Exchange или нет

Question

Чтобы поменять прокси Exchange или нет

В настоящее время я использую Forefront TMG для обращения прокси Exchange 2010 к внешнему миру.

Сейчас я готовлю среду Exchange 2016 и, поскольку Forefront TMG устарел, мне нужно решение без него. Теперь у меня есть pfSense и HAProxy в качестве первой линии защиты и балансировки нагрузки.

У меня вопрос: следует ли добавить обратный прокси-сервер между балансировщиком нагрузки и Exchange? Где это выгодно? Все работает из одного и того же гипервизора и хранилища ниже.

Я знаю, что HAPrxoy 1.8 теперь может кэшировать небольшие объекты в памяти, что может ускорить работу веб-сервисов. Но с другой стороны, только OWA и ECP имеют некоторый статический контент.

Есть идеи?

Привет,

Рональд

3

exchange haproxy microsoft tmg

Источник

user292026 12 дек '17 в 21:31

1 ответ

Решение

Другие вопросы по тегам exchange haproxy microsoft tmg

mfinni 12 дек '17 в 21:54 2017-12-12 21:54 · Accepted Answer · 2017-12-12 21:54

У меня есть прокси Azure AD App для внешней среды Exchange. Причины для этого - безопасность.

С внешним прокси-слоем вы можете реализовать любые другие правила, которые Exchange не использует изначально. Ограничения IP, ограничения geoIP, многофакторная аутентификация и т. Д. - что бы ни поддерживал ваш прокси.

У вас нет портов 80 и 443, открытых для серверов Exchange, на которых работает Windows, и которые могут иметь неизвестные уязвимости. Очевидно, вы полагаетесь на то, что у вашего прокси-сервера меньше уязвимостей, но даже если они становятся собственниками, если прокси-сервер не является членом домена и находится в какой-либо форме DMZ, то количество повреждений, которое может нанести прокси-машина pwned. надеюсь, намного меньше, чем принадлежащий машине Exchange.

Предостережение. Если ваш прокси-сервер не предоставляет вам больше функций безопасности и / или не уменьшает поверхность атаки, то все, что вы сделали, это усложнили вашу среду без каких-либо выплат.