Usando um proxy reverso para habilitar o acesso de usuário remoto
Tópico modificado em: 2009-01-25
Os usuários externos (ou seja, os usuários fora do firewall da organização) fazem logon no Communicator Web Access (versão 2007 R2) apontando o navegador da Web para um servidor virtual criado especificamente para eles. Os usuários externos podem acessar diretamente o servidor do Communicator Web Access. No entanto, por razões de segurança, isso é desaconselhável. Ao contrário, é altamente recomendável que os usuários externos passem primeiro por um servidor proxy reverso.
Um servidor proxy reverso é um computador que executa um software para servidor proxy, como o Microsoft Internet Security and Acceleration (ISA) Server. O servidor proxy reverso está localizado na rede de perímetro (também conhecida como zona desmilitarizada ou DMZ), uma rede que existe entre a rede corporativa interna e a Internet. Quando um usuário externo tenta se conectar ao servidor virtual do Communicator Web Access, o serviço DNS (Sistema de Nomes de Domínio) encaminha automaticamente a solicitação para o servidor proxy reverso. Em seguida, o servidor proxy reverso encaminha a solicitação de serviço para o servidor do Communicator Web Access. Para os usuários finais, o processo é completamente transparente. Até onde eles sabem, o servidor proxy reverso é o servidor do Communicator Web Access.
Ter um ponto único de acesso permite que os administradores determinem facilmente quem pode e quem não pode se conectar aos servidores, além de controlar o conteúdo que os usuários têm permissão para acessar. Ao “ocultar” os nomes de servidores atrás do proxy reverso você também pode trocar o hardware ou fazer alterações de nome do host sem afetar seus clientes. Os usuários continuarão a utilizar a mesma URL, não importa que computadores estejam instalados atrás do servidor proxy.
O Communicator Web Access Server é compatível com a maioria dos servidores proxy reverso do mercado. Isso significa que você pode usar quase todos os softwares de proxy reverso, com exceção de um. Se você optou por usar a autenticação de logon único, precisará usar o Microsoft Internet Security and Acceleration (ISA) Server 2006 com o SSO (logon único) habilitado no ouvinte da Web.
Independentemente do servidor proxy reverso que você escolher, é recomendável que o servidor seja um membro do grupo de trabalho, e não um servidor membro do domínio interno confiável. Esse procedimento oferecerá um nível adicional de segurança. Se o servidor proxy reverso for comprometido, os invasores terão acesso somente a esse servidor, e não à rede interna.
Por questões de desempenho, é recomendável que nenhum ouro software seja instalado no proxy reverso. No entanto, o mesmo computador que atua como servidor proxy reverso do Communicator Web Access também pode ser usado como um servidor proxy reverso para outros aplicativos (por exemplo, o Outlook Web Access).
Como diferentes servidores proxy reverso são configurados de diferentes maneiras, este documento não abordará as etapas detalhadas de configuração de um servidor proxy reverso. Para obter detalhes, consulte a documentação do seu servidor proxy reverso.