Firewallanforderungen für den Zugriff durch externe Benutzer
Letztes Änderungsdatum des Themas: 2010-04-16
Ihre Vorgehensweise bei der Konfiguration von Firewalls ist von den speziellen, in Ihrer Organisation verwendeten Firewalls abhängig. Alle Firewalls weisen jedoch gemeinsame, für Office Communications Server 2007 R2 erforderliche Konfigurationsanforderungen auf. Folgen Sie bei der Konfiguration einer Firewall den Anweisungen des Herstellers, und beachten Sie die Informationen in diesem Abschnitt. Sie enthalten Beschreibungen der Einstellungen, die bei internen und externen Firewalls konfiguriert werden müssen.
Öffentlich routingfähige IP-Adresse
An einem Standort, an dem mehrere Edgeserver hinter einem System zum Lastenausgleich bereitgestellt werden, darf eine externe Firewall nicht als NAT (Network Address Translation, Netzwerkadressenübersetzung) fungieren. An einem Standort, an dem jedoch nur ein einzelner Edgeserver bereitgestellt wird, kann die externe Firewall als NAT konfiguriert werden.
Konfigurieren Sie in diesem Fall die NAT als DNAT (Destination Network Address Translation, Zielnetzwerk-Adressenübersetzung) für eingehenden Datenverkehr. Das bedeutet, Sie konfigurieren alle Firewallfilter für den Datenverkehr vom Internet zum Edgeserver mit DNAT; die Firewallfilter für den Datenverkehr vom Edgeserver zum Internet (ausgehender Datenverkehr) konfigurieren Sie als SNAT (Source Network Address Translation, Quellnetzwerk-Adressenübersetzung). Die Filter für den eingehenden und ausgehenden Datenverkehr müssen, wie in Abbildung 1 dargestellt, derselben öffentlichen IP-Adresse und derselben privaten IP-Adresse zugeordnet werden.
Abbildung 1. DNAT- und SNAT-Beispielkonfiguration
.jpg "Dd441361.6b3a5ede-4253-4874-b096-2e969bf52626(de-de,office.13).jpg")
Die interne Firewall fungiert jedoch möglicherweise nicht in allen Topologien als NAT für die interne IP-Adresse des Edgeservers.
.gif "Dd441361.note(de-de,office.13).gif") Hinweis: |
|---|
Microsoft Internet Security and Acceleration (ISA) Server wird nicht nur als Reverseproxy unterstützt, sondern auch als Firewall für Office Communications Server 2007 R2. Folgende Versionen von ISA werden als Firewall unterstützt:
|
Standardports
In der folgenden Abbildung werden die Standardfirewallports für jeden Server im Umkreisnetzwerk veranschaulicht.
Abbildung 2. Standardfirewallports im Umkreisnetzwerk
.jpg "Dd441361.e8cae4e4-4b71-45aa-9b07-676cd581d7e0(de-de,office.13).jpg")
In den folgenden Abschnitten finden Sie zusätzliche Informationen zu den Ports, die für jede Serverrolle in jeder Topologie konfiguriert werden müssen. In den folgenden Tabellen verweisen die in der Spalte "Nummer in der Abbildung" angegebenen Ziffern auf die Nummern, die den Portbeschreibungen in der obigen Abbildung zugeordnet wurden.
Firewallrichtlinienregeln des Edgeservers
In den folgenden drei Tabellen werden die Firewallrichtlinienregeln beschrieben, die für den Edgeserver konfiguriert werden müssen. Diese Einstellungen werden in getrennten Tabellen aufgeführt, um darzustellen, welche Porteinstellungen von den einzelnen auf dem Edgeserver ausgeführten Diensten verwendet werden.
In den folgenden Abschnitten werden die Firewallrichtlinienregeln aufgelistet, die auf den einzelnen Servern im Umkreisnetzwerk erforderlich sind. In den Tabellen dieser Abschnitte entsprechen die Zahlen in der Spalte Nummer in der Abbildung den Zahlen in Abbildung 2.
Der in diesen Tabellen für die Richtung der Firewallrichtlinienregeln verwendete Begriff "ausgehend" ist folgendermaßen definiert:
- An der internen Firewall bezieht er sich auf den Datenverkehr von den Servern des internen (privaten) Netzwerks zum Edgeserver im Umkreisnetzwerk.
- An der externen Firewall bezieht er sich auf den Datenverkehr vom Edgeserver im Umkreisnetzwerk zum Internet.
Tabelle 1. Firewalleinstellungen für den Zugriffs-Edgedienst
| Firewall | Richtlinienregeln | Nummer in der Abbildung |
|---|---|---|
Intern |
Lokaler Port: beliebig Richtung: eingehend (für den Zugriff von Remote- und Verbundbenutzern) Remoteport: 5061 TCP (TCP/MTLS) Lokale IP-Adresse: die interne IP-Adresse des Zugriffs-Edgediensts Remote-IP: die IP-Adresse des Servers für den nächsten Hop. Wenn ein Director bereitgestellt ist, verwenden Sie die IP-Adresse des Directors oder die VIP des Systems zum Lastenausgleich, sofern die Directors mit einem solchen System verbunden sind. |
5 |
Intern |
Lokaler Port: 5061 TCP (SIP/MTLS) Richtung: ausgehend (für den Zugriff von Remote- und Verbundbenutzern) Remoteport: beliebig Lokale IP-Adresse: die interne IP-Adresse des Zugriffs-Edgediensts Remote-IP: Wenn kein Director bereitgestellt wird, können Sie eine beliebige IP-Adresse verwenden. Wenn ein Director bereitgestellt wird, verwenden Sie die IP-Adresse des Directors oder die virtuelle IP-Adresse des Systems zum Lastenausgleich, sofern die Directors mit einem solchen System verbunden sind. |
5 |
Extern |
Lokaler Port: 5061 TCP (SIP/MTLS) Richtung: eingehend/ausgehend (Verbund) Remoteport: beliebig Lokale IP: die externe IP-Adresse des Zugriffs-Edgediensts Remote-IP: beliebige IP-Adresse |
3 |
Extern |
Lokaler Port: 443 TCP (SIP/TLS) Richtung: eingehend (für den Zugriff von Remotebenutzern) Remoteport: beliebig Lokale IP: die externe IP-Adresse des Zugriffs-Edgediensts Remote-IP: beliebige IP-Adresse |
4 |
Extern |
Lokaler Port: 53 DNS. Richtung: Ausgehend (für DNS-Abfragen). Remoteport: beliebig Lokale IP: die externe IP-Adresse des Zugriffs-Edgediensts Remote-IP: beliebige IP-Adresse |
11 |
Extern |
Lokaler Port: 80 HTTP. Richtung: Ausgehend (zum Herunterladen von Zertifikatssperrlisten). Remoteport: beliebig Lokale IP: die externe IP-Adresse des Zugriffs-Edgediensts Remote-IP: beliebige IP-Adresse |
15 |
| Hinweis: |
|---|
| PSOM (Persistent Shared Object Model, Modell für beständige freigegebene Objekte) ist das proprietäre, von Microsoft für Webkonferenzen verwendete Protokoll. |
Tabelle 2. Firewalleinstellungen für den Webkonferenz-Edgedienst
| Firewall | Richtlinienregeln | Nummer in der Abbildung |
|---|---|---|
Intern |
Lokaler Port: 8057 TCP (PSOM/MTLS) Richtung: ausgehend (für den Datenverkehr zwischen den internen Webkonferenzservern und dem Webkonferenz-Edgedienst) Remoteport: beliebig Lokale IP: die interne IP-Adresse des Webkonferenz-Edgediensts Remote-IP: beliebige IP-Adresse |
7 |
Extern |
Lokaler Port: 443 TCP (PSOM/TLS) Richtung: eingehend (für den Zugriff auf interne Webkonferenzen durch Remote-, anonyme und Verbundbenutzer) Remoteport: beliebig Lokale IP: die externe IP-Adresse des Webkonferenz-Edgediensts Remote-IP: beliebige IP-Adresse |
6 |
Tabelle 3. Firewalleinstellungen für den A/V-Edgedienst
| Firewall | Richtlinienregeln | Nummer in der Abbildung |
|---|---|---|
Intern |
Lokaler Port: 443 TCP (STUN/TCP) Richtung: Ausgehend (für die Übertragung von Mediendaten zwischen internen Benutzern und externen Benutzern). Remoteport: beliebig Lokale IP: die interne IP-Adresse des A/V-Edgediensts Remote-IP: beliebige IP-Adresse |
12 |
Intern |
Lokaler Port: 5062 TCP (SIP/MTLS) Richtung: ausgehend (für die Authentifizierung von A/V-Benutzern) Remoteport: beliebig Lokale IP: die interne IP-Adresse des A/V-Edgediensts Remote-IP: beliebige IP-Adresse |
13 |
Intern |
Lokaler Port: 3478 UDP (STUN/UDP) Richtung: Ausgehend (für die Übertragung von Mediendaten zwischen internen Benutzern und externen Benutzern). Beachten Sie, dass es sich hierbei um die gängigste Einstellung handelt. Aufgrund der Eigenschaften von verschiedenen Firewalls und UDP sind für Ihre Firewalls möglicherweise andere Einstellungen erforderlich. Remoteport: beliebig Lokale IP: die interne IP-Adresse des A/V-Edgediensts Remote-IP: beliebige IP-Adresse Hinweis:
Wenn Sie ISA Server als Firewall verwenden, müssen Sie die Regel für Senden/Empfangen konfigurieren.
|
14 |
Extern |
Lokaler Port: 443 TCP (STUN/TCP) Richtung: Eingehend (für den Zugriff auf Mediendaten und A/V-Sitzungen durch externe Benutzer). Remoteport: beliebig Lokale IP: die externe IP-Adresse des A/V-Edgediensts Remote-IP: beliebige IP-Adresse |
8 |
Extern |
Lokaler Port: 3478 UDP (STUN/UDP) Richtung: Eingehend/Ausgehend (für die Herstellung einer Verbindung mit Mediendaten und A/V-Sitzungen durch externe Benutzer) Beachten Sie, dass es sich hierbei um die gängigste Einstellung handelt. Aufgrund der Eigenschaften von verschiedenen Firewalls und UDP sind für Ihre Firewalls möglicherweise andere Einstellungen erforderlich. Remoteport: beliebig Lokale IP: die externe IP-Adresse des A/V-Edgediensts Remote-IP: beliebige IP-Adresse Hinweis:
Wenn Sie ISA Server als Firewall verwenden, müssen Sie die Regel für Senden/Empfangen konfigurieren.
|
10 |
Extern |
Lokaler Portbereich: 50.000-59.999 TCP (RTP/TCP) (Einzelheiten zu diesem Portbereich bei Partnern mit früheren Versionen von Office Communications Server finden Sie unter Portbereich 50.000 – 59.999.) Richtung: Ausgehend (für die Übertragung von Mediendaten) Remoteport: beliebig Lokale IP: die externe IP-Adresse des A/V-Edgediensts Remote-IP: beliebige IP-Adresse |
9 |
Firewallrichtlinienregeln des Reverseproxys
In der folgenden Tabelle wird die für den Reverseproxy zu konfigurierende Firewallrichtlinie beschrieben.
Tabelle 4. Firewalleinstellungen für den Reverseproxy
| Firewall | Richtlinienregeln | Nummer in der Abbildung |
|---|---|---|
Intern |
Lokaler Port: beliebig Richtung: eingehend (für den Zugriff durch externe Benutzer auf Webkonferenzen) Remoteport: 443 TCP (HTTP(S)) Lokale IP: die interne IP-Adresse des Reverseproxys Remote-IP: beliebig |
2 |
Extern |
Lokaler Port: 443 TCP (HTTP(S)) Richtung: eingehend Remoteport: beliebig Lokale IP-Adresse: die externe IP-Adresse des HTTP-Reverseproxys Remote-IP: beliebig Hinweis:
Wenn Sie Ihren Benutzern ermöglichen möchten, aus Ihrem Intranet heraus Verbindungen mit externen, von anderen Unternehmen gehosteten Konferenzen herzustellen, öffnen Sie Port 443 als ausgehenden Port.
|
1 |