Lync

Lync2013/Skype for Business 2015 防火牆要求

  • November 10, 2016

我們希望在 vSphere 集群上部署單個整合邊緣。通過閱讀 Microsoft 文件,您似乎需要兩層防火牆。

Internet <--> Firewall <--> Edge Server/Reverse Proxy <--> Firewall <--> Front End/LAN

在實踐中,給定一個只有一個面向外部的防火牆的虛擬環境,您是否真的需要在 Edge 之間使用另一個防火牆(它將有兩個 NICS,一個在 DMZ 上,一個在 LAN 上,具有靜態路由/沒有預設網關) 和 LAN 上的前端伺服器?

關於這一點 - 關於反向代理,為什麼不能直接從 WAN NAT 到 Lync Web 服務前端的 LAN 介面?

Microsoft 針對 Lync/SfB 部署的最佳實踐和設計指南建議:

  • 使用反向代理髮布前端伺服器的外部 Web 服務。
  • 將邊緣伺服器放置在兩個防火牆之間,一個將其公共介面與 Internet 隔離,另一個將其內部介面與 LAN 隔離。

也就是說,使用更簡單的配置實際上很常見:

  • 反向代理確實可以用簡單的 NAT 代替,但是您需要重新映射 TCP 埠,因為外部 Web 服務需要在 TCP 埠 443 上發布,但它們實際上是在 TCP 埠 4443 上偵聽前端伺服器(埠 443 用於內部Web 服務)。
  • 邊緣伺服器可以將其內部介面直接連接到您的 LAN;但是,請記住這是一個潛在的安全風險:如果邊緣伺服器受到威脅,它可以(並且將)用作您網路的橋頭堡;這是在它和你的區域網路之間放置防火牆的主要原因。

引用自:https://serverfault.com/questions/757964