Firewalls en Lync Server 2010
Última modificación del tema: 2012-07-18
La forma en que se configuran los firewalls depende en gran medida de los firewalls que se usen en la organización. No obstante, cada firewall tiene requisitos de configuración comunes que son específicos de Microsoft Lync Server 2010. Para configurar cada firewall, siga las instrucciones del fabricante, así como la información incluida en esta sección, en la que se describe la configuración que se debe definir en los dos firewalls.
Para cumplir con el requisito de una dirección IP enrutable públicamente del servicio perimetral A/V, el firewall externo de la red perimetral no debe actuar como un dispositivo de traducción de direcciones de red (NAT) para esta dirección IP cuando se usa un equilibrador de carga de DNS. Si el servidor perimetral es un solo servidor perimetral consolidado, Lync Server 2010 permite el uso de NAT para los tres servicios perimetrales. Cuando use el equilibrio de cargas de DNS, use NAT en el firewall de todos los servicios perimetrales.
Además, el firewall interno no debe actuar como dispositivo NAT para la dirección IP interna del servicio perimetral A/V. La dirección IP interna del servicio perimetral A/V debe poder enrutarse sin problemas desde la red interna hasta la dirección IP interna de dicho servicio.
Para obtener información detallada sobre cómo configurar el firewall interno y el firewall externo de la red perimetral, consulte Determinación de los requisitos de los puertos y el firewall de A/V externos en la documentación de planeación.
Procedimientos recomendados
Para ayudar a aumentar la seguridad en la red perimetral, se recomienda implementar los servidores perimetrales de las siguientes maneras:
Cree una nueva subred fuera del enrutador de Lync Server.
Compruebe que el tráfico dirigido a la subred de Lync Server no se enruta a otras subredes.
En el enrutador inicial, configure reglas para asegurarse de que no haya enrutamiento entre la subred de Lync Server y otras subredes (a excepción de una subred de administración que pueda incluir servicios de administración para la red perimetral).
En el enrutador interno, no admita las difusiones o multidifusiones procedentes de la subred de Lync Server en la red perimetral.
Implemente servidores perimetrales entre dos firewalls (uno interno y otro externo) para garantizar el enrutamiento estricto desde un perímetro de red al otro.
Para mejorar el rendimiento y la seguridad de los servidores perimetrales, además de facilitar la implementación de los mismos, siga las instrucciones que se indican a continuación al establecer el proceso de implementación:
Implemente los servidores perimetrales solamente después de haber finalizado la implementación de Lync Server 2010 en la organización, a menos que esté realizando una migración de Microsoft Office Communications Server 2007 a Lync Server 2010. Para obtener información detallada sobre el proceso de migración, consulte la documentación Migrar de Office Communications Server 2007 R2 a Lync Server 2010 y la documentación Migrar de Office Communications Server 2007 a Lync Server 2010.
Implemente servidores perimetrales en un grupo de trabajo, en lugar de en un dominio. De este modo, simplificará la instalación y mantendrá Servicios de dominio de Active Directory fuera de la red perimetral. Si Servicios de dominio de Active Directory se encuentra en la red perimetral, puede suponer un grave riesgo de seguridad.
Implemente los servidores perimetrales en un entorno de ensayo o de laboratorio antes de implementarlos en el entorno de producción. Implemente los servidores perimetrales en la red perimetral solo cuando esté seguro de que la implementación de prueba cumple los requisitos y se puede incorporar correctamente a un entorno de producción.
Implemente al menos un director para que actúe como puerta de enlace de autenticación para el tráfico externo entrante.
Implemente los servidores perimetrales en equipos dedicados que solo ejecutan lo estrictamente necesario. Esto incluye deshabilitar los servicios innecesarios en el equipo y ejecutar solamente los programas esenciales, como programas que incluyan lógica de enrutamiento desarrollados con MSPL (Lenguaje de procesamiento de protocolo de inicio de sesión de Microsoft) y la API de Lync Server.
Habilite la supervisión y la auditoría lo antes posible en el equipo.
Use un equipo que tenga dos adaptadores de red para proporcionar la separación física de las interfaces de red interna y externa.