公共可路由的 IP 地址
在负载平衡器后面部署了多个边缘服务器的任意位置中,外部防火墙无法充当网络地址转换 (NAT)。但是,在只部署了一个边缘服务器的位置中,可以将外部防火墙配置为 NAT。 如果这样做,请将 NAT 配置为入站通信的目标网络地址转换 (DNAT),换句话说,将用于从 Internet 到边缘服务器通信的所有防火墙筛选器配置为 DNAT,将用于从边缘服务器到 Internet 通信(出站通信)的所有防火墙筛选器配置为源网络地址转换 (SNAT)。入站和出站筛选器必须映射到同一个公共 IP 地址和同一个专用 IP 地址,如图 1 所示。 但是,在所有拓扑中,内部防火墙无法充当任何边缘服务器内部的 IP 地址的 NAT。
默认端口
边缘服务器防火墙策略规则
以下三个表介绍要对边缘服务器配置的防火墙策略规则。分别在单独的表中列出这些设置,旨在帮助说明边缘服务器上运行的各个服务所采用的端口设置。 以下几节列出了必须在外围网络中的每台服务器上配置的防火墙策略规则。在这几节的表中,图映射列中的编号对应于图 2 中的编号。 在以下各表中,对防火墙策略规则指示为出站的方向定义如下:
表 1. 针对访问边缘服务的防火墙设置
表 2. 针对 Web 会议边缘服务的防火墙设置表 3. 针对 A/V 边缘服务的防火墙设置
反向代理防火墙策略规则
|