外部用户访问的防火墙要求_CgjVcd_百度空间

在负载平衡器后面部署了多个边缘服务器的任意位置中,外部防火墙无法充当网络地址转换 (NAT)。但是,在只部署了一个边缘服务器的位置中,可以将外部防火墙配置为 NAT。

如果这样做,请将 NAT 配置为入站通信的目标网络地址转换 (DNAT),换句话说,将用于从 Internet 到边缘服务器通信的所有防火墙筛选器配置为 DNAT,将用于从边缘服务器到 Internet 通信(出站通信)的所有防火墙筛选器配置为源网络地址转换 (SNAT)。入站和出站筛选器必须映射到同一个公共 IP 地址和同一个专用 IP 地址,如图 1 所示。

但是,在所有拓扑中,内部防火墙无法充当任何边缘服务器内部的 IP 地址的 NAT。

Dd441361.note(zh-cn,office.13).gif说明:
除了支持将 Microsoft Internet Security and Acceleration (ISA) Server 作为还原代理外,还支持将其作为 Office Communications Server 2007 R2 的防火墙。支持将下列版本的 ISA 作为防火墙:
  • ISA Server 2006
  • ISA Server 2004
如果将 ISA 服务器用作防火墙,则不支持将其配置为 NAT,因为 ISA Server 2006 不支持静态 NAT。

以下三个表介绍要对边缘服务器配置的防火墙策略规则。分别在单独的表中列出这些设置,旨在帮助说明边缘服务器上运行的各个服务所采用的端口设置。

以下几节列出了必须在外围网络中的每台服务器上配置的防火墙策略规则。在这几节的表中,图映射列中的编号对应于图 2 中的编号。

在以下各表中,对防火墙策略规则指示为出站的方向定义如下:

  • 在内部防火墙中,对应于从内部(专用)网络中的服务器到外围网络中的边缘服务器的通信。
  • 在外部防火墙中,对应于从外围网络中的边缘服务器到 Internet 的通信。

表 1. 针对访问边缘服务的防火墙设置

防火墙 策略规则 图映射

内部

本地端口:任意。

方向:入站(用于远程用户访问和联盟)。

远程端口:5061 TCP (TCP/MTLS)。

本地 IP 地址:访问边缘服务的内部 IP 地址。

远程 IP:下一个跃点服务器的 IP 地址。如果部署了一个 Director,请使用该控制器的 IP 地址,如果部署了多个负载平衡的 Director,则使用负载平衡器的 VIP。

5

内部

本地端口:5061 TCP (SIP/MTLS)。

方向:出站(用于远程用户访问和联盟)。

远程端口:任意。

本地 IP 地址:访问边缘服务的内部 IP 地址。

远程 IP:如果未部署控制器,则可以使用任意 IP 地址。如果部署了控制器,则使用该控制器的 IP 地址,而如果对多个控制器进行负载平衡,则使用负载平衡器的虚拟 IP 地址。

5

外部

本地端口:5061 TCP (SIP/MTLS)。

方向:入站/出站(联盟)。

远程端口:任意。

本地 IP:访问边缘服务的外部 IP 地址。

远程 IP:任意 IP 地址。

3

外部

本地端口:443 TCP (SIP/TLS)。

方向:入站(用于远程用户访问)。

远程端口:任意。

本地 IP:访问边缘服务的外部 IP 地址。

远程 IP:任意 IP 地址。

4

外部

本地端口:53 DNS。

方向:出站(对于 DNS 查询)。

远程端口:任意。

本地 IP:访问边缘服务的外部 IP 地址。

远程 IP:任意 IP 地址。

11

外部

本地端口:80 HTTP。

方向:出站(用于下载证书吊销列表)。

远程端口:任意。

本地 IP:访问边缘服务的外部 IP 地址。

远程 IP:任意 IP 地址。

15

表 2. 针对 Web 会议边缘服务的防火墙设置

表 3. 针对 A/V 边缘服务的防火墙设置

防火墙 策略规则 图映射

内部

本地端口:443 TCP (STUN/TCP)。

方向:出站(用于内部用户与外部用户之间的媒体传输)。

远程端口:任意。

本地 IP:A/V 边缘服务的内部 IP 地址。

远程 IP:任意 IP 地址。

12

内部

本地端口:5062 TCP (SIP/MTLS)。

方向:出站(用于 A/V 用户的身份验证)。

远程端口:任意。

本地 IP:A/V 边缘服务的内部 IP 地址。

远程 IP:任意 IP 地址。

13

内部

本地端口:3478 UDP (STUN/UDP)。

方向:出站(用于内部用户与外部用户之间的媒体传输)。请注意,这很有可能是必要设置;因 UDP 和不同防火墙的特性,防火墙可能需要不同的设置。

远程端口:任意。

本地 IP:A/V 边缘服务的内部 IP 地址。

远程 IP:任意 IP 地址。

14

外部

本地端口:443 TCP (STUN/TCP)。

方向:入站(用于外部用户访问媒体和 A/V 会话)。

远程端口:任意。

本地 IP:A/V 边缘服务的外部 IP 地址。

远程 IP:任意 IP 地址。

8

外部

本地端口:3478 UDP (STUN/UDP)。

方向:入站/出站(用于外部用户连接到媒体或 A/V 会话)。请注意,这很有可能是必要设置;因 UDP 和不同防火墙的特性,防火墙可能需要不同的设置。

远程端口:任意。

本地 IP:A/V 边缘服务的外部 IP 地址。

远程 IP:任意 IP 地址。

10

外部

本地端口范围:50,000-59,999 TCP (RTP/TCP)(有关与 Office Communications Server 早期版本进行联盟时此端口范围的详细信息,请参阅 。)

方向:出站(用于媒体传输)。

远程端口:任意。

本地 IP:A/V 边缘服务的外部 IP 地址。

远程 IP:任意 IP 地址。

9



郑重声明:资讯 【外部用户访问的防火墙要求_CgjVcd_百度空间】由 发布,版权归原作者及其所在单位,其原创性以及文中陈述文字和内容未经(企业库qiyeku.com)证实,请读者仅作参考,并请自行核实相关内容。若本文有侵犯到您的版权, 请你提供相关证明及申请并与我们联系(qiyeku # qq.com)或【在线投诉】,我们审核后将会尽快处理。
—— 相关资讯 ——