Compartir a través de

  • Artículo

Firewalls de Office Communications Server 2007 R2

Última modificación del tema: 2009-05-22

La forma en que se configuran los firewalls depende en gran medida de los firewalls que se usen en la organización. No obstante, cada firewall tiene requisitos de configuración comunes que son específicos de Office Communications Server 2007 R2. Para configurar cada firewall, siga las instrucciones del fabricante así como la información incluida en esta sección, en la que se describe la configuración que se debe definir en los dos firewalls.

Para cumplir con el requisito de una dirección IP enrutable públicamente del servicio perimetral A/V, el firewall externo de la red perimetral no debe actuar como un dispositivo de traducción de direcciones de red (NAT) para esta dirección IP cuando se usa un equilibrador de carga de hardware. Si el servidor perimetral es un solo servidor perimetral consolidado, Office Communications Server 2007 R2 permite el uso de NAT para los tres servicios perimetrales.

Además, el firewall interno no debe actuar como dispositivo NAT para la dirección IP interna del servicio perimetral A/V. La dirección IP interna del servicio perimetral A/V debe poder enrutarse sin problemas desde la red interna hasta la dirección IP interna de dicho servicio.

En la siguiente figura se muestran los puertos de firewall predeterminados para cada servidor de la red perimetral. Para obtener información detallada sobre cómo configurar el firewall interno y el firewall externo de la red perimetral, vea Implementar servidores perimetrales para el acceso de usuarios externos.

Figura 1. Puertos de firewall predeterminados para los servidores de la red perimetral

Dd572904.75f1add0-23ec-4add-8738-719f68adccfa(es-es,office.13).jpg

Procedimientos recomendados

Para ayudar a aumentar la seguridad en la red perimetral, se recomienda implementar los servidores perimetrales de las siguientes maneras:

  • Cree una nueva subred fuera del enrutador para Office Communications Server.
  • Compruebe que el tráfico dirigido a la subred de Office Communications Server no se enruta a otras subredes.
  • En el enrutador inicial, configure reglas para asegurarse de que no haya enrutamiento entre la subred de Office Communications Server 2007 R2 y otras subredes (a excepción de una subred de administración que pueda incluir servicios de administración para la red perimetral).
  • En el enrutador interno, no admita las difusiones ni las multidifusiones procedentes de la subred de Office Communications Server 2007 R2 en la red perimetral.
  • Implemente servidores perimetrales entre dos firewalls (uno interno y otro externo) para garantizar el enrutamiento estricto desde un perímetro de red al otro.

Para mejorar el rendimiento y la seguridad de los servidores perimetrales, además de facilitar la implementación de los mismos, siga las instrucciones que se indican a continuación al establecer el proceso de implementación:

  • Implemente los servidores perimetrales solamente después de haber finalizado la implementación de Office Communications Server 2007 R2 en su organización, a menos que esté realizando una migración de Microsoft Office Live Communications Server 2005 Service Pack 1 a Microsoft Office Communications Server 2007 R2. Para obtener información detallada sobre el proceso de migración, vea Migrar desde Office Communications Server 2007.
  • Implemente los servidores perimetrales en un grupo de trabajo y no en un dominio. De este modo, simplificará la instalación y mantendrá los Servicios de dominio de Active Directory fuera de la red perimetral. La ubicación de los Servicios de dominio de Active Directory en la red perimetral puede suponer un riesgo significativo para la seguridad.
  • Implemente los servidores perimetrales en un entorno de ensayo o de laboratorio antes de implementarlos en el entorno de producción. Implemente los servidores perimetrales en la red perimetral solo cuando esté seguro de que la implementación de prueba cumple los requisitos y se puede incorporar correctamente a un entorno de producción.
  • Implemente al menos un director para que actúe como puerta de enlace de autenticación para el tráfico externo entrante.
  • Implemente los servidores perimetrales en equipos dedicados que solo ejecutan lo estrictamente necesario. Esto incluye deshabilitar los servicios innecesarios en el equipo y ejecutar solamente los programas esenciales, como programas que incluyan lógica de enrutamiento desarrollados con MSPL (Lenguaje de procesamiento de protocolo de inicio de sesión de Microsoft) y la API de Office Communications Server.
  • Habilite la supervisión y la auditoría lo antes posible en el equipo.
  • Utilice un equipo que tenga dos adaptadores de red para proporcionar la separación física de las interfaces de red interna y externa.