次の方法で共有


外部ユーザー アクセスに対するファイアウォール要件

トピックの最終更新日: 2010-04-16

ファイアウォールの構成方法は、使用するファイアウォールごとに大きく異なりますが、それぞれのファイアウォールに、Office Communications Server 2007 R2 に必要な共通の構成要件があります。各ファイアウォールを構成する際、製造元の指示、およびこのセクションでの説明に従ってください。このセクションでは、内部ファイアウォールと外部ファイアウォールに対して構成する必要のある設定情報について説明します。

パブリック ルーティング可能な IP アドレス

複数のエッジ サーバーがロード バランサの背後に展開されている場所では、外部ファイアウォールはネットワーク アドレス変換 (NAT) として機能しません。これに対し、エッジ サーバーが 1 つだけ展開されているサイトでは、外部ファイアウォールを NAT として構成できます。

この場合は、NAT を着信トラフィックの宛先ネットワーク アドレス変換 (DNAT) として構成します。つまり、インターネットからエッジ サーバーへのトラフィックに使用するファイアウォール フィルタを DNAT で構成し、エッジ サーバーからインターネットへのトラフィック (発信トラフィック) に対するファイアウォール フィルタを送信元ネットワーク アドレス変換 (SNAT) として構成します。図 1 に示すように、着信フィルタと発信フィルタは、同じパブリック IP アドレスおよび同じプライベート IP アドレスにマッピングする必要があります。

図 1. DNAT と SNAT の構成例

Dd441361.6b3a5ede-4253-4874-b096-2e969bf52626(ja-jp,office.13).jpg

ただし、すべてのトポロジにおいて、内部ファイアウォールが、エッジ サーバーの内部 IP アドレスに対する NAT として動作しません。

Dd441361.note(ja-jp,office.13).gif注:
リバース プロキシとしてサポートされるのに加えて、Microsoft Internet Security and Acceleration (ISA) Server は Office Communications Server 2007 R2 のファイアウォールとしてサポートされます。ファイアウォールとしてサポートされる ISA のバージョンは次のとおりです。
  • ISA Server 2006
  • ISA Server 2004
ISA Server をファイアウォールとして使用する場合は、ISA Server を NAT として構成することはサポートされていません。これは、ISA Server 2006 が静的 NAT をサポートしていないためです。

既定ポート

次の図に、境界ネットワーク上の各サーバーに対する既定のファイアウォール ポートを示します。

図 2. 境界ネットワークでの既定のファイアウォール ポート

Dd441361.e8cae4e4-4b71-45aa-9b07-676cd581d7e0(ja-jp,office.13).jpg

このセクションでは、各トポロジにおける各サーバーの役割に対して構成する必要のある各ポートについて、詳しく説明します。このセクションの各表において、右端の欄に記載されている番号は、この図の中の番号を意味します。

エッジ サーバーにおけるファイアウォール ポリシー ルール

次の 3 つの表では、エッジ サーバーに対して構成するファイアウォール ポリシー ルールについて説明します。エッジ サーバーで実行している各サービスが使用するポートの設定がわかりやすいように、表を分けて設定を示します。

以下では、境界ネットワークの各サーバーで必要なファイアウォール ポリシー ルールを示します。これらの表で、"図の番号" 列の番号は、図 2 の番号に対応しています。

このセクションの各表において、ファイアウォールのポリシー ルールの方向が "送信" となっている場合は、次のことを意味します。

  • 内部ファイアウォールの場合は、内部ネットワーク上のサーバーから境界ネットワーク上のエッジ サーバーにトラフィックが送られることを意味します。
  • 外部ファイアウォールの場合は、境界ネットワーク上のエッジ サーバーからインターネットにトラフィックが送られることを意味します。

表 1. アクセス エッジ サービスに対するファイアウォール設定

ファイアウォール ポリシー ルール 図の番号

内部

ローカル ポート: 任意

方向: 受信 (リモート ユーザー アクセスおよびフェデレーション用)

リモート ポート: 5061 TCP (TCP/MTLS)

ローカル IP アドレス: アクセス エッジ サービスの内部 IP アドレス

リモート IP: 次のホップ サーバーの IP アドレス。ディレクタを 1 つ配置する場合は、そのディレクタの IP アドレス。ディレクタを複数個配置して負荷を分散する場合は、ロード バランサの仮想 IP アドレス。

5

内部

ローカル ポート: 5061 TCP (SIP/MTLS)

方向: 送信 (リモート ユーザー アクセスおよびフェデレーション用)

リモート ポート: 任意

ローカル IP アドレス: アクセス エッジ サービスの内部 IP アドレス

リモート IP: ディレクタを配置しない場合は、任意の IP アドレス。ディレクタを 1 つ配置する場合は、そのディレクタの IP アドレス。ディレクタを複数個配置して負荷を分散する場合は、ロード バランサの仮想 IP アドレス。

5

外部

ローカル ポート: 5061 TCP (SIP/MTLS)

方向: 受信/送信 (フェデレーション)

リモート ポート: 任意

ローカル IP: アクセス エッジ サービスの外部 IP アドレス

リモート IP: 任意の IP アドレス

3

外部

ローカル ポート: 443 TCP (SIP/TLS)

方向: 受信 (リモート ユーザー アクセス用)

リモート ポート: 任意

ローカル IP: アクセス エッジ サービスの外部 IP アドレス

リモート IP: 任意の IP アドレス

4

外部

ローカル ポート: 53 DNS

方向: 送信 (DNS クエリ用)

リモート ポート: 任意

ローカル IP: アクセス エッジ サービスの外部 IP アドレス

リモート IP: 任意の IP アドレス

11

外部

ローカル ポート: 80 HTTP

方向: 送信 (証明書失効リストをダウンロードする場合)

リモート ポート: 任意

ローカル IP: アクセス エッジ サービスの外部 IP アドレス

リモート IP: 任意の IP アドレス

15

Dd441361.note(ja-jp,office.13).gif注:
永続共有オブジェクト モデル (PSOM) は、Web 会議で使用されるマイクロソフトの独自プロトコルです。

表 2. Web 会議エッジ サービスに対するファイアウォール設定

ファイアウォール ポリシー ルール 図の番号

内部

ローカル ポート: 8057 TCP (PSOM/MTLS)

方向: 送信 (内部 Web 会議サーバーと Web 会議エッジ サービスとの間のトラフィック用)

リモート ポート: 任意

ローカル IP: Web 会議エッジ サービスの内部 IP アドレス

リモート IP: 任意の IP アドレス

7

外部

ローカル ポート: 443 TCP (PSOM/TLS)

方向: 受信 (内部 Web 会議に参加するリモート ユーザー、匿名ユーザー、およびフェデレーション ユーザー用)

リモート ポート: 任意

ローカル IP: Web 会議エッジ サービスの外部 IP アドレス

リモート IP: 任意の IP アドレス

6

表 3. 音声ビデオ エッジ サービスに対するファイアウォール設定

ファイアウォール ポリシー ルール 図の番号

内部

ローカル ポート: 443 TCP (STUN/TCP)

方向: 送信 (内部ユーザーと外部ユーザーの間のメディア転送用)

リモート ポート: 任意

ローカル IP: 音声ビデオ エッジ サービスの内部 IP アドレス

リモート IP: 任意の IP アドレス

12

 内部

ローカル ポート: 5062 TCP (SIP/MTLS)

方向: 送信 (音声ビデオ ユーザーの認証用)

リモート ポート: 任意

ローカル IP: 音声ビデオ エッジ サービスの内部 IP アドレス

リモート IP: 任意の IP アドレス

13

内部

ローカル ポート: 3478 UDP (STUN/UDP)

方向: 送信 (内部ユーザーと外部ユーザーの間のメディア転送用)。これは必須である可能性が高い設定です。UDP とさまざまなファイアウォールの性質により、ファイアウォールには異なる設定が必要です。

リモート ポート: 任意

ローカル IP: 音声ビデオ エッジ サービスの内部 IP アドレス

リモート IP: 任意の IP アドレス

Dd441361.note(ja-jp,office.13).gif注:
ISA Server をファイアウォールとして使用している場合は、このルールを送受信用に構成する必要があります。

14

外部

ローカル ポート: 443 TCP (STUN/TCP)

方向: 受信 (メディアを送信する外部ユーザーおよび音声ビデオ セッションを確立する外部ユーザー用)

リモート ポート: 任意

ローカル IP: 音声ビデオ エッジ サービスの外部 IP アドレス

リモート IP: 任意の IP アドレス

8

外部

ローカル ポート: 3478 UDP (STUN/UDP)

方向: 受信/送信 (メディアに接続する外部ユーザー、または音声ビデオ セッションを確立する外部ユーザー用)。これは必須である可能性が高い設定です。UDP とさまざまなファイアウォールの性質により、ファイアウォールには異なる設定が必要です。

リモート ポート: 任意

ローカル IP: 音声ビデオ エッジ サービスの外部 IP アドレス

リモート IP: 任意の IP アドレス

Dd441361.note(ja-jp,office.13).gif注:
ISA Server をファイアウォールとして使用している場合は、このルールを送受信用に構成する必要があります。

10

外部

ローカル ポートの範囲: 50,000 ~ 59,999 TCP (RTP/TCP) (以前のバージョンの Office Communications Server とフェデレーションを行う場合のこのポート範囲の詳細については、「50,000 ~ 59,999 のポート範囲」を参照してください)。

方向: 送信 (メディアの転送用)

リモート ポート: 任意

ローカル IP: 音声ビデオ エッジ サービスの外部 IP アドレス

リモート IP: 任意の IP アドレス

9

リバース プロキシにおけるファイアウォール ポリシー ルール

次の表に、リバース プロキシに対して構成するファイアウォール ポリシーを示します。

表 4. リバース プロキシに対するファイアウォール設定

ファイアウォール ポリシー ルール 図の番号

内部

ローカル ポート: 任意

方向: 受信 (Web 会議に参加する外部ユーザー アクセス用)

リモート ポート: 443 TCP (HTTP(S))

ローカル IP: リバース プロキシの内部 IP アドレス

リモート IP: 任意

2

外部

ローカル ポート: 443 TCP (HTTP(S))

方向: 受信

リモート ポート: 任意

ローカル IP アドレス: HTTP リバース プロキシの外部 IP アドレス

リモート IP: 任意

Dd441361.note(ja-jp,office.13).gif注:
イントラネット内から他社がホストする外部会議にユーザーが接続できるようにする場合は、送信ポート 443 を開きます。

1