外部ユーザー アクセスに対するファイアウォール要件
トピックの最終更新日: 2010-04-16
ファイアウォールの構成方法は、使用するファイアウォールごとに大きく異なりますが、それぞれのファイアウォールに、Office Communications Server 2007 R2 に必要な共通の構成要件があります。各ファイアウォールを構成する際、製造元の指示、およびこのセクションでの説明に従ってください。このセクションでは、内部ファイアウォールと外部ファイアウォールに対して構成する必要のある設定情報について説明します。
パブリック ルーティング可能な IP アドレス
複数のエッジ サーバーがロード バランサの背後に展開されている場所では、外部ファイアウォールはネットワーク アドレス変換 (NAT) として機能しません。これに対し、エッジ サーバーが 1 つだけ展開されているサイトでは、外部ファイアウォールを NAT として構成できます。
この場合は、NAT を着信トラフィックの宛先ネットワーク アドレス変換 (DNAT) として構成します。つまり、インターネットからエッジ サーバーへのトラフィックに使用するファイアウォール フィルタを DNAT で構成し、エッジ サーバーからインターネットへのトラフィック (発信トラフィック) に対するファイアウォール フィルタを送信元ネットワーク アドレス変換 (SNAT) として構成します。図 1 に示すように、着信フィルタと発信フィルタは、同じパブリック IP アドレスおよび同じプライベート IP アドレスにマッピングする必要があります。
図 1. DNAT と SNAT の構成例
.jpg "Dd441361.6b3a5ede-4253-4874-b096-2e969bf52626(ja-jp,office.13).jpg")
ただし、すべてのトポロジにおいて、内部ファイアウォールが、エッジ サーバーの内部 IP アドレスに対する NAT として動作しません。
.gif "Dd441361.note(ja-jp,office.13).gif") 注: |
|---|
リバース プロキシとしてサポートされるのに加えて、Microsoft Internet Security and Acceleration (ISA) Server は Office Communications Server 2007 R2 のファイアウォールとしてサポートされます。ファイアウォールとしてサポートされる ISA のバージョンは次のとおりです。
|
既定ポート
次の図に、境界ネットワーク上の各サーバーに対する既定のファイアウォール ポートを示します。
図 2. 境界ネットワークでの既定のファイアウォール ポート
.jpg "Dd441361.e8cae4e4-4b71-45aa-9b07-676cd581d7e0(ja-jp,office.13).jpg")
このセクションでは、各トポロジにおける各サーバーの役割に対して構成する必要のある各ポートについて、詳しく説明します。このセクションの各表において、右端の欄に記載されている番号は、この図の中の番号を意味します。
エッジ サーバーにおけるファイアウォール ポリシー ルール
次の 3 つの表では、エッジ サーバーに対して構成するファイアウォール ポリシー ルールについて説明します。エッジ サーバーで実行している各サービスが使用するポートの設定がわかりやすいように、表を分けて設定を示します。
以下では、境界ネットワークの各サーバーで必要なファイアウォール ポリシー ルールを示します。これらの表で、"図の番号" 列の番号は、図 2 の番号に対応しています。
このセクションの各表において、ファイアウォールのポリシー ルールの方向が "送信" となっている場合は、次のことを意味します。
- 内部ファイアウォールの場合は、内部ネットワーク上のサーバーから境界ネットワーク上のエッジ サーバーにトラフィックが送られることを意味します。
- 外部ファイアウォールの場合は、境界ネットワーク上のエッジ サーバーからインターネットにトラフィックが送られることを意味します。
表 1. アクセス エッジ サービスに対するファイアウォール設定
| ファイアウォール | ポリシー ルール | 図の番号 |
|---|---|---|
内部 |
ローカル ポート: 任意 方向: 受信 (リモート ユーザー アクセスおよびフェデレーション用) リモート ポート: 5061 TCP (TCP/MTLS) ローカル IP アドレス: アクセス エッジ サービスの内部 IP アドレス リモート IP: 次のホップ サーバーの IP アドレス。ディレクタを 1 つ配置する場合は、そのディレクタの IP アドレス。ディレクタを複数個配置して負荷を分散する場合は、ロード バランサの仮想 IP アドレス。 |
5 |
内部 |
ローカル ポート: 5061 TCP (SIP/MTLS) 方向: 送信 (リモート ユーザー アクセスおよびフェデレーション用) リモート ポート: 任意 ローカル IP アドレス: アクセス エッジ サービスの内部 IP アドレス リモート IP: ディレクタを配置しない場合は、任意の IP アドレス。ディレクタを 1 つ配置する場合は、そのディレクタの IP アドレス。ディレクタを複数個配置して負荷を分散する場合は、ロード バランサの仮想 IP アドレス。 |
5 |
外部 |
ローカル ポート: 5061 TCP (SIP/MTLS) 方向: 受信/送信 (フェデレーション) リモート ポート: 任意 ローカル IP: アクセス エッジ サービスの外部 IP アドレス リモート IP: 任意の IP アドレス |
3 |
外部 |
ローカル ポート: 443 TCP (SIP/TLS) 方向: 受信 (リモート ユーザー アクセス用) リモート ポート: 任意 ローカル IP: アクセス エッジ サービスの外部 IP アドレス リモート IP: 任意の IP アドレス |
4 |
外部 |
ローカル ポート: 53 DNS 方向: 送信 (DNS クエリ用) リモート ポート: 任意 ローカル IP: アクセス エッジ サービスの外部 IP アドレス リモート IP: 任意の IP アドレス |
11 |
外部 |
ローカル ポート: 80 HTTP 方向: 送信 (証明書失効リストをダウンロードする場合) リモート ポート: 任意 ローカル IP: アクセス エッジ サービスの外部 IP アドレス リモート IP: 任意の IP アドレス |
15 |
| 注: |
|---|
| 永続共有オブジェクト モデル (PSOM) は、Web 会議で使用されるマイクロソフトの独自プロトコルです。 |
表 2. Web 会議エッジ サービスに対するファイアウォール設定
| ファイアウォール | ポリシー ルール | 図の番号 |
|---|---|---|
内部 |
ローカル ポート: 8057 TCP (PSOM/MTLS) 方向: 送信 (内部 Web 会議サーバーと Web 会議エッジ サービスとの間のトラフィック用) リモート ポート: 任意 ローカル IP: Web 会議エッジ サービスの内部 IP アドレス リモート IP: 任意の IP アドレス |
7 |
外部 |
ローカル ポート: 443 TCP (PSOM/TLS) 方向: 受信 (内部 Web 会議に参加するリモート ユーザー、匿名ユーザー、およびフェデレーション ユーザー用) リモート ポート: 任意 ローカル IP: Web 会議エッジ サービスの外部 IP アドレス リモート IP: 任意の IP アドレス |
6 |
表 3. 音声ビデオ エッジ サービスに対するファイアウォール設定
| ファイアウォール | ポリシー ルール | 図の番号 |
|---|---|---|
内部 |
ローカル ポート: 443 TCP (STUN/TCP) 方向: 送信 (内部ユーザーと外部ユーザーの間のメディア転送用) リモート ポート: 任意 ローカル IP: 音声ビデオ エッジ サービスの内部 IP アドレス リモート IP: 任意の IP アドレス |
12 |
内部 |
ローカル ポート: 5062 TCP (SIP/MTLS) 方向: 送信 (音声ビデオ ユーザーの認証用) リモート ポート: 任意 ローカル IP: 音声ビデオ エッジ サービスの内部 IP アドレス リモート IP: 任意の IP アドレス |
13 |
内部 |
ローカル ポート: 3478 UDP (STUN/UDP) 方向: 送信 (内部ユーザーと外部ユーザーの間のメディア転送用)。これは必須である可能性が高い設定です。UDP とさまざまなファイアウォールの性質により、ファイアウォールには異なる設定が必要です。 リモート ポート: 任意 ローカル IP: 音声ビデオ エッジ サービスの内部 IP アドレス リモート IP: 任意の IP アドレス 注:
ISA Server をファイアウォールとして使用している場合は、このルールを送受信用に構成する必要があります。
|
14 |
外部 |
ローカル ポート: 443 TCP (STUN/TCP) 方向: 受信 (メディアを送信する外部ユーザーおよび音声ビデオ セッションを確立する外部ユーザー用) リモート ポート: 任意 ローカル IP: 音声ビデオ エッジ サービスの外部 IP アドレス リモート IP: 任意の IP アドレス |
8 |
外部 |
ローカル ポート: 3478 UDP (STUN/UDP) 方向: 受信/送信 (メディアに接続する外部ユーザー、または音声ビデオ セッションを確立する外部ユーザー用)。これは必須である可能性が高い設定です。UDP とさまざまなファイアウォールの性質により、ファイアウォールには異なる設定が必要です。 リモート ポート: 任意 ローカル IP: 音声ビデオ エッジ サービスの外部 IP アドレス リモート IP: 任意の IP アドレス 注:
ISA Server をファイアウォールとして使用している場合は、このルールを送受信用に構成する必要があります。
|
10 |
外部 |
ローカル ポートの範囲: 50,000 ~ 59,999 TCP (RTP/TCP) (以前のバージョンの Office Communications Server とフェデレーションを行う場合のこのポート範囲の詳細については、「50,000 ~ 59,999 のポート範囲」を参照してください)。 方向: 送信 (メディアの転送用) リモート ポート: 任意 ローカル IP: 音声ビデオ エッジ サービスの外部 IP アドレス リモート IP: 任意の IP アドレス |
9 |
リバース プロキシにおけるファイアウォール ポリシー ルール
次の表に、リバース プロキシに対して構成するファイアウォール ポリシーを示します。
表 4. リバース プロキシに対するファイアウォール設定
| ファイアウォール | ポリシー ルール | 図の番号 |
|---|---|---|
内部 |
ローカル ポート: 任意 方向: 受信 (Web 会議に参加する外部ユーザー アクセス用) リモート ポート: 443 TCP (HTTP(S)) ローカル IP: リバース プロキシの内部 IP アドレス リモート IP: 任意 |
2 |
外部 |
ローカル ポート: 443 TCP (HTTP(S)) 方向: 受信 リモート ポート: 任意 ローカル IP アドレス: HTTP リバース プロキシの外部 IP アドレス リモート IP: 任意 注:
イントラネット内から他社がホストする外部会議にユーザーが接続できるようにする場合は、送信ポート 443 を開きます。
|
1 |