Lync2013/Skype for Business 2015 防火牆要求

我們希望在 vSphere 集群上部署單個整合邊緣。通過閱讀 Microsoft 文件，您似乎需要兩層防火牆。

Internet <--> Firewall <--> Edge Server/Reverse Proxy <--> Firewall <--> Front End/LAN

在實踐中，給定一個只有一個面向外部的防火牆的虛擬環境，您是否真的需要在 Edge 之間使用另一個防火牆（它將有兩個 NICS，一個在 DMZ 上，一個在 LAN 上，具有靜態路由/沒有預設網關) 和 LAN 上的前端伺服器？

關於這一點 - 關於反向代理，為什麼不能直接從 WAN NAT 到 Lync Web 服務前端的 LAN 介面？

Microsoft 針對 Lync/SfB 部署的最佳實踐和設計指南建議：

• 使用反向代理髮布前端伺服器的外部 Web 服務。
• 將邊緣伺服器放置在兩個防火牆之間，一個將其公共介面與 Internet 隔離，另一個將其內部介面與 LAN 隔離。

也就是說，使用更簡單的配置實際上很常見：

• 反向代理確實可以用簡單的 NAT 代替，但是您需要重新映射 TCP 埠，因為外部 Web 服務需要在 TCP 埠 443 上發布，但它們實際上是在 TCP 埠 4443 上偵聽前端伺服器（埠 443 用於內部Web 服務）。
• 邊緣伺服器可以將其內部介面直接連接到您的 LAN；但是，請記住這是一個潛在的安全風險：如果邊緣伺服器受到威脅，它可以（並且將）用作您網路的橋頭堡；這是在它和你的區域網路之間放置防火牆的主要原因。

引用自：https://serverfault.com/questions/757964