使用反向代理实现远程用户访问
上一次修改主题: 2009-01-25
外部用户(即组织防火墙外部的用户)通过将其 Web 浏览器指向专为他们创建的虚拟服务器,即可登录 Communicator Web Access(2007 R2 发行版)。外部用户也有可能直接访问 Communicator Web Access 服务器。但为安全起见,建议不要这么做。强烈建议外部用户先通过反向代理服务器。
反向代理服务器是运行 Microsoft Internet Security and Acceleration (ISA) Server 等代理服务器软件的计算机。反向代理服务器位于外围网络(也称为 DMZ 或外围安全区域)中,外围网络是内部企业网络与 Internet 之间的一个网络。当外部用户尝试连接到 Communicator Web Access 虚拟服务器时,域名系统 (DNS) 服务自动将请求路由至反向代理服务器。然后,反向代理服务器将服务请求转发至 Communicator Web Access 服务器。对最终用户而言,此过程是完全透明的。在用户看来,反向代理服务器就是 Communicator Web Access 服务器。
通过单点访问,管理员可以轻松地决定谁能/不能连接到服务器,以及控制允许用户访问的内容。通过将服务器名“隐藏”在反向代理服务器后,还可以在不影响客户端的情况下,更换硬件或更改主机名。无论代理服务器后面放置哪些计算机,用户都将继续访问同一 URL。
Communicator Web Access 兼容市售的大多数反向代理服务器。也就是说,几乎可以使用任意一款反向代理服务器软件,但有一种情况例外。如果使用单一登录身份验证,则必须使用 Microsoft Internet Security and Acceleration (ISA) Server 2006,并在 Web 侦听器上启用单一登录 (SSO)。
无论选择使用何种反向代理服务器,都建议将该服务器作为工作组成员,而非内部受信任域的成员服务器。这可以增加一层安全保障。在反向代理服务器受到攻击时,攻击者将只能访问该服务器,而不能访问内部网络。
出于性能原因,建议不要在反向代理服务器上安装其他软件。但是,充当 Communicator Web Access 反向代理服务器的那台计算机也可以用作其他应用程序(例如 Outlook Web Access)的反向代理服务器。
由于不同的反向代理服务器以不同的方式进行配置,因此本文档将不讨论设置反向代理服务器的详细步骤。有关详细信息,请参阅反向代理服务器的文档。