<b>OCS防火墙设置中的边沿服务器处理办法</b>[服务器安全]

若要满意 A/V 边沿服务对大众可路由 IP 地址的要求,在利用硬件负载均衡器时,外围网络的外部防火墙不得用作此 IP 地址的 NAT.假如边沿服务器是一台归并的边沿服务器,则 Office Communications Server 2007 R2 将答应对全部这三种边沿服务利用 NAT.

此外,内部防火墙也不得用作 A/V 边沿服务的内部 IP 地址的 NAT.A/V 边沿服务的内部 IP 地址从内部网络到 A/V 边沿服务的内部 IP 地址必须是完好可路由的.

下图显示外围网络中的每台服务器的默许防火墙端口.有关配置外围网络的内部防火墙和外部防火墙的具体信息,请参阅布置边沿服务器供外部用户拜候.

图 1. 外围网络服务器的默许防火墙端口

为了帮忙加强外围网络的安全性,倡议用户按照以下方法布置边沿服务器:

在路由器外部为 Office Communications Server 成立新的子网.

确保传至此 Office Communications Server 子网的通信不会路由到其他子网.

在初始路由器中配置法则,以确保在 Office Communications Server 2007 R2 子网和其他子网（大概包含外围网络的管理服务的管理子网除外）之间不存在路由.

在内部路由器中,不答应有来自外围网络中的 Office Communications Server 2007 R2 子网的任何广播或多播.

在两个防火墙（一个内部防火墙和一个外部防火墙）之间布置边沿服务器,以确保严峻遵守从一个网络边沿到另一个网络边沿的路由.

此外,为了提高边沿服务器的性能和安全并简化布置,在成立布置历程时可遵守以下原则:

只有在组织内布置完 Office Communications Server 2007 R2 之后才布置边沿服务器,除非您要从 Microsoft Office Live Communications Server 2005 Service Pack 1 迁移到 Microsoft Office Communications Server 2007 R2.有关迁移历程的具体信息,请参阅从 Office Communications Server 2007 迁移.

在工作组中而不是域中布置边沿服务器.这样做可以简化安装,并使 Active Directory 域服务与外围网络断绝.将 Active Directory 域服务置于外围网络中大概会造成严重的安全风险.

在生产环境中布置边沿服务器之前,首先在暂时或实行室环境中布置它们.只有在测试布置满意要求并可成功融入生产环境时,才在外围网络中布置边沿服务器.

至少要布置一个 Director 来充当入站外部通信的身份考证网关.

在仅运行所需服务的专用计算机上布置边沿服务器.这包含在计算机上禁用不必要的服务并且仅运行必须的程序,比方利用 Microsoft SIP 处理语言 (MSPL) 和 Office Communications Server API 开辟的包含路由逻辑的程序.

在计算机上尽大概早地启用监控和考核.

利用具有两个网络适配器的计算机,以便将内部网络接口和外部网络接口从物理上别脱离. 　　以上是“<b>OCS防火墙设置中的边沿服务器处理办法</b>[服务器安全]”的内容，如果你对以上该文章内容感兴趣，你可以看看七道奇为您推荐以下文章：