Lync2013/Skype для бизнеса 2015 Требования к брандмауэру
Мы рассчитываем развернуть единый консолидированный фронт в кластере vSphere. Из прочтения документации Microsoft выясняется, что вам нужно два уровня брандмауэра.
Internet <--> Firewall <--> Edge Server/Reverse Proxy <--> Firewall <--> Front End/LAN
На практике, учитывая виртуальную среду с одним внешним брандмауэром, вам действительно нужен другой межсетевой экран между Edge (который будет иметь два NICS, один в DMZ и один в локальной сети со статическими маршрутами / без шлюза по умолчанию)) а сервер Frontend в локальной сети?
На этом замечании - что касается обратного прокси-сервера, почему вы не можете просто использовать NAT напрямую из WAN на интерфейс LAN внешнего интерфейса веб-служб Lync?
1 ответ
Рекомендации Microsoft и рекомендации по проектированию для развертываний Lync/SfB:
- Использование обратного прокси-сервера для публикации внешних веб-служб серверов переднего плана.
- Размещение пограничных серверов в таком положении, чтобы они были заблокированы между двумя межсетевыми экранами, один из которых отделял их общедоступные интерфейсы от Интернета, а другой - от внутренних интерфейсов от ЛВС.
Тем не менее, на самом деле довольно часто используются более простые конфигурации:
- Обратный прокси-сервер действительно может быть заменен простым NAT, но вам нужно будет переназначить порты TCP, поскольку внешние веб-службы должны публиковаться на порте TCP 443, но на самом деле они прослушивают интерфейсные серверы на порте TCP 4443. (порт 443 используется для внутренних веб-сервисов).
- Пограничные серверы могут иметь свои внутренние интерфейсы, напрямую подключенные к вашей локальной сети; однако имейте в виду, что это потенциальная угроза безопасности: если пограничный сервер подвергся риску, он может (и будет) использоваться в качестве плацдарма в вашей сети; это основная причина для создания межсетевого экрана между ним и вашей локальной сетью.