外部用户访问的防火墙要求
上一次修改主题: 2010-04-16
如何配置防火墙在很大程度上取决于组织所使用的特定防火墙,但 Office Communications Server 2007 R2 对于每种防火墙都有一些相同的配置要求。请按照制造商提供的说明配置每种防火墙,同时参考本节中的信息,了解必须在内部和外部防火墙上配置哪些设置。
公共可路由的 IP 地址
在负载平衡器后面部署了多个边缘服务器的任意位置中,外部防火墙无法充当网络地址转换 (NAT)。但是,在只部署了一个边缘服务器的位置中,可以将外部防火墙配置为 NAT。
如果这样做,请将 NAT 配置为入站通信的目标网络地址转换 (DNAT),换句话说,将用于从 Internet 到边缘服务器通信的所有防火墙筛选器配置为 DNAT,将用于从边缘服务器到 Internet 通信(出站通信)的所有防火墙筛选器配置为源网络地址转换 (SNAT)。入站和出站筛选器必须映射到同一个公共 IP 地址和同一个专用 IP 地址,如图 1 所示。
图 1. DNAT 和 SNAT 配置示例
.jpg "Dd441361.6b3a5ede-4253-4874-b096-2e969bf52626(zh-cn,office.13).jpg")
但是,在所有拓扑中,内部防火墙无法充当任何边缘服务器内部的 IP 地址的 NAT。
.gif "Dd441361.note(zh-cn,office.13).gif") 注意: |
|---|
除了支持将 Microsoft Internet Security and Acceleration (ISA) Server 作为还原代理外,还支持将其作为 Office Communications Server 2007 R2 的防火墙。支持将下列版本的 ISA 作为防火墙:
|
默认端口
下图显示外围网络中每个服务器的默认防火墙端口。
图 2. 外围网络中的默认防火墙端口
.jpg "Dd441361.e8cae4e4-4b71-45aa-9b07-676cd581d7e0(zh-cn,office.13).jpg")
以下几节提供了有关在每种拓扑中要对每个服务器角色配置的各个端口的附加信息,以及与上图中的编号对应的端口说明。
边缘服务器防火墙策略规则
以下三个表介绍要对边缘服务器配置的防火墙策略规则。分别在单独的表中列出这些设置,旨在帮助说明边缘服务器上运行的各个服务所采用的端口设置。
以下几节列出了必须在外围网络中的每台服务器上配置的防火墙策略规则。在这几节的表中,图映射列中的编号对应于图 2 中的编号。
在以下各表中,对防火墙策略规则指示为出站的方向定义如下:
- 在内部防火墙中,对应于从内部(专用)网络中的服务器到外围网络中的边缘服务器的通信。
- 在外部防火墙中,对应于从外围网络中的边缘服务器到 Internet 的通信。
表 1. 针对访问边缘服务的防火墙设置
| 防火墙 | 策略规则 | 图映射 |
|---|---|---|
内部 |
本地端口:任意。 方向:入站(用于远程用户访问和联盟)。 远程端口:5061 TCP (TCP/MTLS)。 本地 IP 地址:访问边缘服务的内部 IP 地址。 远程 IP:下一个跃点服务器的 IP 地址。如果部署了一个 Director,请使用该控制器的 IP 地址,如果部署了多个负载平衡的 Director,则使用负载平衡器的 VIP。 |
5 |
内部 |
本地端口:5061 TCP (SIP/MTLS)。 方向:出站(用于远程用户访问和联盟)。 远程端口:任意。 本地 IP 地址:访问边缘服务的内部 IP 地址。 远程 IP:如果未部署控制器,则可以使用任意 IP 地址。如果部署了控制器,则使用该控制器的 IP 地址,而如果对多个控制器进行负载平衡,则使用负载平衡器的虚拟 IP 地址。 |
5 |
外部 |
本地端口:5061 TCP (SIP/MTLS)。 方向:入站/出站(联盟)。 远程端口:任意。 本地 IP:访问边缘服务的外部 IP 地址。 远程 IP:任意 IP 地址。 |
3 |
外部 |
本地端口:443 TCP (SIP/TLS)。 方向:入站(用于远程用户访问)。 远程端口:任意。 本地 IP:访问边缘服务的外部 IP 地址。 远程 IP:任意 IP 地址。 |
4 |
外部 |
本地端口:53 DNS。 方向:出站(对于 DNS 查询)。 远程端口:任意。 本地 IP:访问边缘服务的外部 IP 地址。 远程 IP:任意 IP 地址。 |
11 |
外部 |
本地端口:80 HTTP。 方向:出站(用于下载证书吊销列表)。 远程端口:任意。 本地 IP:访问边缘服务的外部 IP 地址。 远程 IP:任意 IP 地址。 |
15 |
| 注意: |
|---|
| 持续性共享对象模型 (PSOM) 是用于 Web 会议的 Microsoft 专用协议。 |
表 2. 针对 Web 会议边缘服务的防火墙设置
| 防火墙 | 策略规则 | 图映射 |
|---|---|---|
内部 |
本地端口:8057 TCP (PSOM/MTLS) 方向:出站(用于内部 Web 会议服务器与 Web 会议边缘服务之间的通信) 远程端口:任意 本地 IP:Web 会议边缘服务的内部 IP 地址 远程 IP:任意 IP 地址 |
7 |
外部 |
本地端口:443 TCP (PSOM/TLS) 方向:入站(用于远程、匿名和联盟用户访问内部 Web 会议) 远程端口:任意 本地 IP:Web 会议边缘服务的外部 IP 地址 远程 IP:任意 IP 地址 |
6 |
表 3. 针对 A/V 边缘服务的防火墙设置
| 防火墙 | 策略规则 | 图映射 |
|---|---|---|
内部 |
本地端口:443 TCP (STUN/TCP)。 方向:出站(用于内部用户与外部用户之间的媒体传输)。 远程端口:任意。 本地 IP:A/V 边缘服务的内部 IP 地址。 远程 IP:任意 IP 地址。 |
12 |
内部 |
本地端口:5062 TCP (SIP/MTLS)。 方向:出站(用于 A/V 用户的身份验证)。 远程端口:任意。 本地 IP:A/V 边缘服务的内部 IP 地址。 远程 IP:任意 IP 地址。 |
13 |
内部 |
本地端口:3478 UDP (STUN/UDP)。 方向:出站(用于内部用户与外部用户之间的媒体传输)。请注意,这很有可能是必要设置;因 UDP 和不同防火墙的特性,防火墙可能需要不同的设置。 远程端口:任意。 本地 IP:A/V 边缘服务的内部 IP 地址。 远程 IP:任意 IP 地址。 注意:
如果要将 ISA 服务器用作防火墙,则必须配置发送/接收规则。
|
14 |
外部 |
本地端口:443 TCP (STUN/TCP)。 方向:入站(用于外部用户访问媒体和 A/V 会话)。 远程端口:任意。 本地 IP:A/V 边缘服务的外部 IP 地址。 远程 IP:任意 IP 地址。 |
8 |
外部 |
本地端口:3478 UDP (STUN/UDP)。 方向:入站/出站(用于外部用户连接到媒体或 A/V 会话)。请注意,这很有可能是必要设置;因 UDP 和不同防火墙的特性,防火墙可能需要不同的设置。 远程端口:任意。 本地 IP:A/V 边缘服务的外部 IP 地址。 远程 IP:任意 IP 地址。 注意:
如果要将 ISA 服务器用作防火墙,则必须配置发送/接收规则。
|
10 |
外部 |
本地端口范围:50,000-59,999 TCP (RTP/TCP)(有关与 Office Communications Server 早期版本进行联盟时此端口范围的详细信息,请参阅 50,000 - 59,999 端口范围。) 方向:出站(用于媒体传输)。 远程端口:任意。 本地 IP:A/V 边缘服务的外部 IP 地址。 远程 IP:任意 IP 地址。 |
9 |
反向代理防火墙策略规则
下表介绍要对还原代理配置的防火墙策略。
表 4. 针对还原代理的防火墙设置
| 防火墙 | 策略规则 | 图映射 |
|---|---|---|
内部 |
本地端口:任意 方向:入站(用于外部用户访问 Web 会议) 远程端口:443 TCP (HTTP(S)) 本地 IP:还原代理的内部 IP 地址 远程 IP:任意 |
2 |
外部 |
本地端口:443 TCP (HTTP(S)) 方向:入站 远程端口:任意 本地 IP 地址:HTTP 还原代理的外部 IP 地址 远程 IP:任意 注意:
如果希望用户能够从 Intranet 连接到其他公司主持的外部会议,则需要打开出站端口 443。
|
1 |