외부 사용자 액세스를 위한 방화벽 요구 사항
마지막으로 수정된 항목: 2010-04-16
방화벽을 구성하는 방법은 대개 조직에서 사용하는 특정 방화벽에 따라 다르지만 각 방화벽에는 Office Communications Server 2007 R2에 필요한 공통된 구성 요구 사항이 있습니다. 내부 및 외부 방화벽에서 구성해야 하는 설정을 설명하는 이 섹션의 정보와 함께 제조업체의 지침에 따라 각 방화벽을 구성합니다.
공개적으로 라우팅 가능한 IP 주소
부하 분산 장치 뒤에 여러 에지 서버가 배포된 모든 위치에서는 외부 방화벽이 NAT(Network Address Translation)로 작동하지 않을 수 있습니다. 그러나 단일 에지 서버만 배포된 사이트에서는 외부 방화벽을 NAT로 구성할 수 있습니다.
이렇게 할 경우 NAT를 인바운드 트래픽에 대한 DNAT(Destination Network Address Translation)로 구성합니다. 즉, 인터넷에서 에지 서버로 향하는 트래픽에 사용되는 모든 방화벽 필터를 DNAT로 구성하고 에지 서버에서 인터넷으로 가는 트래픽(아웃바운드 트래픽)에 사용되는 모든 방화벽 필터를 SNAT(Source Network Address Translation)로 구성합니다. 그림 1과 같이 인바운드 및 아웃바운드 필터는 동일한 공용 IP 주소 및 동일한 개인 IP 주소에 매핑되어야 합니다.
그림 1. 샘플 DNAT 및 SNAT 구성
.jpg "Dd441361.6b3a5ede-4253-4874-b096-2e969bf52626(ko-kr,office.13).jpg")
그러나 일부 토폴로지에서 내부 방화벽은 에지 서버의 내부 IP 주소에 대한 NAT로 작동할 수 없습니다.
[!참고] Microsoft Internet Security and Acceleration (ISA) Server는 역방향 프록시로 지원될 뿐 아니라 Office Communications Server 2007 R2에 대한 방화벽으로도 사용할 수 있습니다. 다음 버전의 ISA가 방화벽으로 지원됩니다.
ISA Server를 방화벽으로 사용할 경우 ISA Server 2006에서 정적 NAT를 지원하지 않으므로 ISA Server를 NAT로 구성할 수 없습니다.
- ISA Server 2006
- ISA Server 2004
기본 포트
다음 그림에서는 경계 네트워크의 각 서버에 대한 기본 방화벽 포트를 보여 줍니다.
그림 2. 경계 네트워크의 기본 방화벽 포트
.jpg "Dd441361.e8cae4e4-4b71-45aa-9b07-676cd581d7e0(ko-kr,office.13).jpg")
다음 섹션에서는 각 토폴로지의 각 서버 역할에 대해 구성할 각 포트 및 이전 그림의 숫자를 해당 포트 설명으로 매핑하는 방법에 대한 추가 정보를 제공합니다.
에지 서버 방화벽 정책 규칙
다음 세 개의 표에서는 에지 서버에 대해 구성할 방화벽 정책 규칙을 설명합니다. 에지 서버에서 실행 중인 각 서비스에 사용되는 포트 설정을 나타내는 데 도움이 되도록 이러한 설정은 별개의 표에 나열됩니다.
경계 네트워크의 각 서버에서 필요한 방화벽 정책 규칙은 다음 섹션에서 제공됩니다. 이러한 섹션에 있는 표에서 그림 매핑 열의 숫자는 그림 2의 숫자에 해당합니다.
다음 표에서 아웃바운드로 표시된 방화벽 정책 규칙의 방향은 다음과 같이 정의됩니다.
- 내부 방화벽에서는 내부(개인) 네트워크의 서버에서 경계 네트워크에 있는 에지 서버로의 트래픽에 해당합니다.
- 외부 방화벽에서는 경계 네트워크의 에지 서버에서 인터넷으로의 트래픽에 해당합니다.
표 1. 액세스 에지 서비스에 대한 방화벽 설정
| 방화벽 | 정책 규칙 | 그림 매핑 |
|---|---|---|
내부 |
로컬 포트: 모두 방향: 인바운드(원격 사용자 액세스 및 페더레이션용) 원격 포트: 5061 TCP(TCP/MTLS) 로컬 IP 주소: 액세스 에지 서비스의 내부 IP 주소 원격 IP: 다음 홉 서버의 IP 주소. 디렉터를 배포한 경우 디렉터의 IP 주소 또는 부하 분산 장치의 VIP(디렉터의 부하가 분산된 경우)를 사용합니다. |
5 |
내부 |
로컬 포트: 5061 TCP(SIP/MTLS) 방향: 아웃바운드(원격 사용자 액세스 및 페더레이션용) 원격 포트: 모두 로컬 IP 주소: 액세스 에지 서비스의 내부 IP 주소 원격 IP: 디렉터가 배포되지 않은 경우 임의의 IP 주소를 사용할 수 있습니다. 디렉터를 배포한 경우 디렉터의 IP 주소 또는 부하 분산 장치의 가상 IP 주소(디렉터의 부하가 분산된 경우)를 사용합니다. |
5 |
외부 |
로컬 포트: 5061 TCP(SIP/MTLS) 방향: 인바운드/아웃바운드(페더레이션) 원격 포트: 모두 로컬 IP: 액세스 에지 서비스의 외부 IP 주소 원격 IP: 임의의 IP 주소 |
3 |
외부 |
로컬 포트: 443 TCP(SIP/TLS) 방향: 인바운드(원격 사용자 액세스용) 원격 포트: 모두 로컬 IP: 액세스 에지 서비스의 외부 IP 주소 원격 IP: 임의의 IP 주소 |
4 |
외부 |
로컬 포트: 53 DNS 방향: 아웃바운드(DNS 쿼리용) 원격 포트: 모두 로컬 IP: 액세스 에지 서비스의 외부 IP 주소 원격 IP: 임의의 IP 주소 |
11 |
외부 |
로컬 포트: 80 HTTP 방향: 아웃바운드(인증서 해지 목록을 다운로드하는 데 사용) 원격 포트: 모두 로컬 IP: 액세스 에지 서비스의 외부 IP 주소 원격 IP: 임의의 IP 주소 |
15 |
[!참고] PSOM(영구적 공유 개체 모델)은 웹 회의에 사용되는 Microsoft 소유 프로토콜입니다.
표 2. 웹 회의 에지 서비스에 대한 방화벽 설정
| 방화벽 | 정책 규칙 | 그림 매핑 |
|---|---|---|
내부 |
로컬 포트: 8057 TCP(PSOM/MTLS) 방향: 아웃바운드(내부 웹 회의 서버와 웹 회의 에지 서비스 간의 트래픽용) 원격 포트: 모두 로컬 IP: 웹 회의 에지 서비스의 내부 IP 주소 원격 IP: 임의의 IP 주소 |
7 |
외부 |
로컬 포트: 443 TCP(PSOM/TLS) 방향: 인바운드(내부 웹 전화 회의에 대한 원격, 익명 및 페더레이션 사용자 액세스용) 원격 포트: 모두 로컬 IP: 웹 회의 에지 서비스의 외부 IP 주소 원격 IP: 임의의 IP 주소 |
6 |
표 3. A/V 에지 서비스에 대한 방화벽 설정
| 방화벽 | 정책 규칙 | 그림 매핑 |
|---|---|---|
내부 |
로컬 포트: 443 TCP(STUN/TCP) 방향: 아웃바운드(내부 사용자와 외부 사용자 간의 미디어 전송에 사용) 원격 포트: 모두 로컬 IP: A/V 에지 서비스의 내부 IP 주소 원격 IP: 임의의 IP 주소 |
12 |
내부 |
로컬 포트: 5062 TCP(SIP/MTLS) 방향: 아웃바운드(A/V 사용자 인증용) 원격 포트: 모두 로컬 IP: A/V 에지 서비스의 내부 IP 주소 원격 IP: 임의의 IP 주소 |
13 |
내부 |
로컬 포트: 3478 UDP(STUN/UDP) 방향: 아웃바운드(내부 사용자와 외부 사용자 간의 미디어 전송에 사용). 대부분의 경우에는 이 설정을 사용합니다. UDP의 특성과 방화벽은 달라질 수 있으므로 방화벽에 따라 다른 설정이 필요할 수도 있습니다. 원격 포트: 모두 로컬 IP: A/V 에지 서비스의 내부 IP 주소 원격 IP: 임의의 IP 주소 .gif "Dd441361.note(ko-kr,office.13).gif") 참고:
ISA Server를 방화벽으로 사용하는 경우 보내기/받기에 대한 규칙을 구성해야 합니다.
|
14 |
외부 |
로컬 포트: 443 TCP(STUN/TCP) 방향: 인바운드(미디어 및 A/V 세션에 대한 외부 사용자 액세스용) 원격 포트: 모두 로컬 IP: A/V 에지 서비스의 외부 IP 주소. 원격 IP: 임의의 IP 주소 |
8 |
외부 |
로컬 포트: 3478 UDP(STUN/UDP) 방향: 인바운드/아웃바운드(미디어 또는 A/V 세션에 연결하는 외부 사용자용). 대부분의 경우에는 이 설정을 사용합니다. UDP의 특성과 방화벽은 달라질 수 있으므로 방화벽에 따라 다른 설정이 필요할 수도 있습니다. 원격 포트: 모두 로컬 IP: A/V 에지 서비스의 외부 IP 주소. 원격 IP: 임의의 IP 주소 참고:
ISA Server를 방화벽으로 사용하는 경우 보내기/받기에 대한 규칙을 구성해야 합니다.
|
10 |
외부 |
로컬 포트 범위: 50,000-59,999 TCP(RTP/TCP). 이전 버전의 Office Communications Server와 페더레이션하는 경우 이 포트 범위에 대한 자세한 내용은 50,000 – 59,999 포트 범위를 참조하십시오. 방향: 아웃바운드(미디어 전송용) 원격 포트: 모두 로컬 IP: A/V 에지 서비스의 외부 IP 주소. 원격 IP: 임의의 IP 주소 |
9 |
역방향 프록시 방화벽 정책 규칙
다음 표에서는 역방향 프록시에 대해 구성할 방화벽 정책을 설명합니다.
표 4. 역방향 프록시에 대한 방화벽 설정
| 방화벽 | 정책 규칙 | 그림 매핑 |
|---|---|---|
내부 |
로컬 포트: 모두 방향: 인바운드(웹 전화 회의에 대한 외부 사용자 액세스용) 원격 포트: 443 TCP(HTTP(S)) 로컬 IP: 역방향 프록시의 내부 IP 주소 원격 IP: 모두 |
2 |
외부 |
로컬 포트: 443 TCP(HTTP(S)) 방향: 인바운드 원격 포트: 모두 로컬 IP 주소: HTTP 역방향 프록시의 외부 IP 주소 원격 IP: 모두 참고:
사용자가 인트라넷 내부에서 다른 회사가 호스트하는 외부 전화 회의에 연결할 수 있게 하려면 포트 443 아웃바운드를 엽니다.
|
1 |