Configuration requise pour le pare-feu pour l'accès des utilisateurs externes
Dernière rubrique modifiée : 2010-04-16
La configuration de vos pare-feu dépend en grande partie des pare-feu spécifiques utilisés dans votre organisation, mais chacun a également des exigences communes spécifiques à Office Communications Server 2007 R2. Suivez les instructions du fabricant pour configurer chaque pare-feu, ainsi que les informations de cette section qui décrivent les paramètres devant être configurés sur les pare-feu internes et externes.
Adresse IP publiquement routable
Dans tout emplacement avec plusieurs serveurs de périphérie déployés derrière un programme d'équilibrage de la charge, le pare-feu externe ne peut pas fonctionner comme un NAT (Network Address Translation). Toutefois, dans un site ayant un serveur de périphérie unique déployé, le pare-feu externe peut être configuré comme un NAT.
Si vous procédez ainsi, configurez le NAT en tant que DNAT (Destination Network Address Translation) pour le trafic entrant, autrement dit, configurez les filtres de pare-feu utilisés pour le trafic qui va d'Internet au serveur de périphérie avec un DNAT et les filtres de pare-feu pour le trafic qui va du serveur de périphérie à Internet (trafic sortant) comme un SNAT (Source Network Address Translation). Les filtres entrants et sortants doivent mapper à la même adresse IP publique et la même adresse IP privée, comme illustré dans la figure 1.
Figure 1. Exemple de configuration DNAT et SNAT
.jpg "Dd441361.6b3a5ede-4253-4874-b096-2e969bf52626(fr-fr,office.13).jpg")
Dans toutes les topologies, toutefois, le pare-feu interne ne peut pas faire office de NAT pour l'adresse IP interne de tous les serveurs de périphérie.
.gif "Dd441361.note(fr-fr,office.13).gif") Remarque : |
|---|
Microsoft Internet Security and Acceleration (ISA) Server est pris en charge en tant que proxy inverse, mais également en tant que pare-feu pour Office Communications Server 2007 R2. Les versions suivantes de Microsoft Internet Security and Acceleration sont prises en charge en tant que pare-feu :
|
Ports par défaut
La figure suivante indique quels ports du pare-feu sont utilisés par défaut pour chaque serveur inclus dans le réseau de périmètre.
Figure 2. Ports de pare-feu par défaut dans le réseau de périmètre
.jpg "Dd441361.e8cae4e4-4b71-45aa-9b07-676cd581d7e0(fr-fr,office.13).jpg")
Les sections suivantes contiennent des informations supplémentaires concernant les ports à configurer pour les rôles de serveur dans chaque topologie. La description de chaque port est associée à un numéro dans la figure précédente.
Règles de stratégie de pare-feu pour le serveur de périphérie
Les trois tableaux ci-dessous décrivent les règles des stratégies de pare-feu que vous devez configurer pour le serveur de périphérie. Ces paramètres apparaissent dans des tableaux séparés pour aider à illustrer quels paramètres de port sont utilisés par chaque service exécuté par le serveur de périphérie.
Les sections suivantes répertorient les règles de stratégie de pare-feu qui sont requises sur chaque serveur dans le réseau de périmètre. Dans les tableaux de ces sections, les chiffres de la colonne Numéro correspondant dans la figure correspondent à ceux de la figure 2.
Dans les tableaux suivants, la direction des règles de stratégies de pare-feu sortantes est définie comme suit :
- Sur le pare-feu interne, elle correspond au trafic entre les serveurs du réseau interne (privé) et le serveur de périphérie inclus dans le réseau de périmètre.
- Sur le pare-feu externe, elle correspond au trafic entre le serveur de périphérie inclus dans le réseau de périmètre et Internet.
Tableau 1. Paramètres du pare-feu pour le service Edge d'accès
| Pare-feu | Règles de stratégie | Numéro correspondant dans la figure |
|---|---|---|
Interne |
Port local : indifférent. Direction : entrante (pour l'accès des utilisateurs distants et la fédération). Port distant : 5061 TCP (TCP/MTLS). Adresse IP locale : adresse IP interne du service Edge d'accès. Adresse IP distante : adresse IP du serveur du tronçon suivant Si un directeur est déployé, utilisez son adresse IP ou l'adresse IP virtuelle du programme d'équilibrage de charge auquel il est associé, le cas échéant. |
5 |
Interne |
Port local : 5061 TCP (SIP/MTLS). Direction : sortante (pour l'accès des utilisateurs distants et la fédération). Port distant : indifférent. Adresse IP locale : adresse IP interne du service Edge d'accès. Adresse IP distante : si aucun directeur n'est déployé, vous pouvez utiliser une adresse IP quelconque. Si un directeur est déployé, utilisez son adresse IP ou l'adresse IP virtuelle du programme d'équilibrage de charge auquel il est associé, le cas échéant. |
5 |
Externe |
Port local : 5061 TCP (SIP/MTLS). Direction : entrante/sortante (fédération). Port distant : indifférent. Adresse IP locale : adresse IP externe du service Edge d'accès. Adresse IP distante : n'importe quelle adresse IP. |
3 |
Externe |
Port local : 443 TCP (SIP/TLS). Direction : entrante (pour l'accès des utilisateurs distants). Port distant : indifférent. Adresse IP locale : adresse IP externe du service Edge d'accès. Adresse IP distante : n'importe quelle adresse IP. |
4 |
Externe |
Port local : 53 DNS. Direction : sortante (pour les requêtes DNS). Port distant : indifférent. Adresse IP locale : adresse IP externe du service Edge d'accès. Adresse IP distante : n'importe quelle adresse IP. |
11 |
Externe |
Port local : 80 HTTP. Direction : sortante (pour télécharger les listes de révocation de certificats). Port distant : indifférent. Adresse IP locale : adresse IP externe du service Edge d'accès. Adresse IP distante : n'importe quelle adresse IP. |
15 |
| Remarque : |
|---|
| PSOM (Persistent Shared Object Model) est le protocole propriétaire Microsoft utilisé pour les conférences Web. |
Tableau 2. Paramètres du pare-feu pour le service Edge de conférence Web
| Pare-feu | Règles de stratégie | Numéro correspondant dans la figure |
|---|---|---|
Interne |
Port local : 8057 TCP (PSOM/MTLS) Direction : sortante (pour le trafic entre les serveurs de conférence Web internes et le service Edge de conférence Web). Port distant : indifférent Adresse IP locale : adresse IP interne du service Edge de conférence Web. Adresse IP distante : adresse IP quelconque |
7 |
Externe |
Port local : 443 TCP (PSOM/TLS) Direction : entrante (pour l'accès des utilisateurs distants, anonymes et fédérés aux conférences Web internes) Port distant : indifférent Adresse IP locale : adresse IP externe du service Edge de conférence Web Adresse IP distante : adresse IP quelconque |
6 |
Tableau 3. Paramètres du pare-feu pour le service Edge A/V
| Pare-feu | Règles de stratégie | Numéro correspondant dans la figure |
|---|---|---|
Interne |
Port local : 443 TCP (STUN/TCP). Direction : sortante (pour les transferts multimédias entre les utilisateurs internes et les utilisateurs externes). Port distant : indifférent. Adresse IP locale : adresse IP interne du service Edge A/V. Adresse IP distante : n'importe quelle adresse IP. |
12 |
Interne |
Port local : 5062 TCP (SIP/MTLS). Direction : sortante (pour l'authentification des utilisateurs des fonctions A/V). Port distant : indifférent. Adresse IP locale : adresse IP interne du service Edge A/V. Adresse IP distante : n'importe quelle adresse IP. |
13 |
Interne |
Port local : 3478 UDP (STUN/UDP). Direction : sortante (pour les transferts multimédias entre les utilisateurs internes et les utilisateurs externes). Notez qu'il s'agit du paramètre le plus fréquemment requis ; étant donné la nature du trafic UDP et les variations entre les différents pare-feu, il est possible que votre pare-feu nécessite des paramètres différents. Port distant : indifférent. Adresse IP locale : adresse IP interne du service Edge A/V. Adresse IP distante : n'importe quelle adresse IP. Remarque :
Si vous utilisez un système ISA Server en tant que pare-feu, vous devez définir la règle d'envoi/réception à utiliser.
|
14 |
Externe |
Port local : 443 TCP (STUN/TCP). Direction : entrante (pour l'accès des utilisateurs externes aux sessions multimédias et A/V). Port distant : indifférent. Adresse IP locale : adresse IP externe du service Edge A/V. Adresse IP distante : n'importe quelle adresse IP. |
8 |
Externe |
Port local : 3478 UDP (STUN/UDP). Direction : entrante/sortante (pour l'accès des utilisateurs externes aux sessions multimédias et A/V). Notez qu'il s'agit du paramètre le plus fréquemment requis ; étant donné la nature du trafic UDP et les variations entre les différents pare-feu, il est possible que votre pare-feu nécessite des paramètres différents. Port distant : indifférent. Adresse IP locale : adresse IP externe du service Edge A/V. Adresse IP distante : n'importe quelle adresse IP. Remarque :
Si vous utilisez un système ISA Server en tant que pare-feu, vous devez définir la règle d'envoi/réception à utiliser.
|
10 |
Externe |
Plage de ports locaux : 50 000-59 999 TCP (RTP/TCP) (Pour plus d'informations sur cette place de ports dans le cadre de la fédération avec des versions antérieures d'Office Communications Server, consultez Plage de ports 50 000 à 59 999.) Direction : sortante (pour les transferts multimédias). Port distant : indifférent. Adresse IP locale : adresse IP externe du service Edge A/V. Adresse IP distante : n'importe quelle adresse IP. |
9 |
Règles de stratégie de pare-feu pour le proxy inverse
Le tableau ci-dessous décrit la stratégie de pare-feu que vous devez configurer pour le proxy inverse.
Tableau 4. Paramètres du pare-feu pour le proxy inverse
| Pare-feu | Règles de stratégie | Numéro correspondant dans la figure |
|---|---|---|
Interne |
Port local : indifférent Direction : entrante (pour l'accès des utilisateurs externes aux conférences Web) Port distant : 443 TCP (HTTP(S)) Adresse IP locale : adresse IP interne du proxy inverse Adresse IP distante : indifférente |
2 |
Externe |
Port local : 443 TCP (HTTP(S)) Direction : entrante Port distant : indifférent Adresse IP locale : adresse IP externe du proxy inverse HTTP Adresse IP distante : indifférente Remarque :
Si vous souhaitez que vos utilisateurs puissent se connecter à partir de votre intranet à des conférences externes hébergées par d'autres sociétés, ouvrez le port 443 en sortie.
|
1 |