Partilhar via


Firewalls do Office Communications Server 2007 R2

Tópico modificado em: 2009-05-22

O modo como você configura os firewalls depende muito dos firewalls específicos usados na sua organização. No entanto, cada firewall tem requisitos de configuração comuns específicos do Office Communications Server 2007 R2. Siga as instruções do fabricante para configurar cada firewall, junto com as informações fornecidas nesta seção, que descrevem as configurações que devem ser definidas nos dois firewalls.

Para estar em conformidade com o requisito de um endereço IP roteável publicamente do serviço de Borda A/V, o firewall externo da rede de perímetro não deverá agir como um NAT desse endereço IP quando um balanceador de carga de hardware estiver sendo usado. Se o serviço de borda for um único servidor de borda consolidado, o Office Communications Server 2007 R2 permitirá o uso do NAT nos três serviços de borda.

Além disso, o firewall interno não deve agir como um NAT para o endereço IP interno do serviço de Borda A/V. O endereço IP interno do serviço de Borda A/V deve ser totalmente roteável da rede interna para o endereço IP interno do serviço de Borda A/V.

A figura a seguir mostra as portas de firewall padrão de cada servidor da rede de perímetro. Para obter informações detalhadas sobre como configurar firewalls internos e externos da rede de perímetro, consulte Implantando Servidores de Borda para acesso de usuário externo.

Figura 1 - Portas padrão de firewall para os servidores de rede de perímetro

Dd572904.75f1add0-23ec-4add-8738-719f68adccfa(pt-br,office.13).jpg

Práticas recomendadas

Para ajudar a melhorar a segurança da rede de perímetro, é recomendável implantar servidores de borda da seguinte forma:

  • Crie uma nova sub-rede a partir do roteador para o Office Communications Server.
  • Verifique se o tráfego que vem para a sub-rede do Office Communications Server não é roteado para outras sub-redes.
  • No roteador inicial, configure regras para garantir que não haja roteamento entre a sub-rede do Office Communications Server 2007 R2 e outras sub-redes (com exceção de uma sub-rede de gerenciamento que possa incluir os serviços de gerenciamento da rede de perímetro).
  • No roteador interno, não permita quaisquer difusões ou difusões seletivas vindas da sub-rede do Office Communications Server 2007 R2 na rede de perímetro.
  • Implante servidores de borda entre dois firewalls (um interno e outro externo) para garantir o roteamento estrito de uma borda da rede para a outra.

Além disso, para aprimorar o desempenho e a segurança do servidor de borda, além de facilitar a implantação, use as seguintes diretrizes ao estabelecer o processo de implantação:

  • Implante os servidores de borda somente depois de concluir a implantação do Office Communications Server 2007 R2 na organização, a menos que você esteja migrando do Microsoft Office Live Communications Server 2005 com Service Pack 1 para o Microsoft Office Communications Server 2007 R2. Para obter informações detalhadas sobre o processo de migração, consulte Migração do Office Communications Server 2007.
  • Implante os servidores de borda em um grupo de trabalho, e não em um domínio. Isso simplifica a instalação e mantém os Serviços de Domínio Active Directory fora da rede de perímetro. Localizar os Serviços de Domínio Active Directory na rede de perímetro pode representar um risco significativo à segurança.
  • Implante os servidores de borda em um ambiente de teste ou de laboratório antes de implantá-los no ambiente de produção. Implante os servidores de borda na rede de perímetro somente quando tiver certeza de que a implantação de teste atende aos seus requisitos e pode ser incorporada com êxito em um ambiente de produção.
  • Implante pelo menos um Diretor para agir como um gateway de autenticação para o tráfego externo de entrada.
  • Implante servidores de borda em computadores dedicados que execute apenas o que for necessário. Isso inclui desabilitar serviços desnecessários e executar somente programas essenciais no computador, como programas que incorporam a lógica de roteamento desenvolvidos por meio da MSPL (linguagem de processamento de SIP da Microsoft) e da API do Office Communications Server.
  • Habilite o mais cedo possível o monitoramento e a auditoria no computador.
  • Use um computador que tenha dois adaptadores de rede para oferecer a separação física das interfaces de rede interna e externa.