【51CTO獨家特稿】在OCS（Office Communications Server ）中具體的防火墻的配置方式在很大程度上取決于用戶在組織中使用的特定防火墻。不過，每種防火墻都具有特定于 Office Communications Server 2007 R2 的常見配置要求。需要按照制造商提供的說明配置每種防火墻，并了解必須在兩種防火墻上配置哪些設置。

若要滿足 A/V 邊緣服務對公共可路由 IP 地址的要求，在使用硬件負載平衡器時，外圍網(wǎng)絡的外部防火墻不得用作此 IP 地址的 NAT。如果邊緣服務器是一臺合并的邊緣服務器，則 Office Communications Server 2007 R2 將允許對所有這三種邊緣服務使用 NAT。

此外，內部防火墻也不得用作 A/V 邊緣服務的內部 IP 地址的 NAT。A/V 邊緣服務的內部 IP 地址從內部網(wǎng)絡到 A/V 邊緣服務的內部 IP 地址必須是完全可路由的。

下圖顯示外圍網(wǎng)絡中的每臺服務器的默認防火墻端口。有關配置外圍網(wǎng)絡的內部防火墻和外部防火墻的詳細信息，請參閱部署邊緣服務器供外部用戶訪問。

圖 1. 外圍網(wǎng)絡服務器的默認防火墻端口

為了幫助增強外圍網(wǎng)絡的安全性，建議用戶按照以下方式部署邊緣服務器：

在路由器外部為 Office Communications Server 創(chuàng)建新的子網(wǎng)。

確保傳至此 Office Communications Server 子網(wǎng)的通信不會路由到其他子網(wǎng)。

在初始路由器中配置規(guī)則，以確保在 Office Communications Server 2007 R2 子網(wǎng)和其他子網(wǎng)（可能包含外圍網(wǎng)絡的管理服務的管理子網(wǎng)除外）之間不存在路由。

在內部路由器中，不允許有來自外圍網(wǎng)絡中的 Office Communications Server 2007 R2 子網(wǎng)的任何廣播或多播。

在兩個防火墻（一個內部防火墻和一個外部防火墻）之間部署邊緣服務器，以確保嚴格遵循從一個網(wǎng)絡邊緣到另一個網(wǎng)絡邊緣的路由。

此外，為了提高邊緣服務器的性能和安全并簡化部署，在建立部署過程時可遵循以下準則：

只有在組織內部署完 Office Communications Server 2007 R2 之后才部署邊緣服務器，除非您要從 Microsoft Office Live Communications Server 2005 Service Pack 1 遷移到 Microsoft Office Communications Server 2007 R2。有關遷移過程的詳細信息，請參閱從 Office Communications Server 2007 遷移。

在工作組中而不是域中部署邊緣服務器。這樣做可以簡化安裝，并使 Active Directory 域服務與外圍網(wǎng)絡隔離。將 Active Directory 域服務置于外圍網(wǎng)絡中可能會造成嚴重的安全風險。

在生產環(huán)境中部署邊緣服務器之前，首先在臨時或實驗室環(huán)境中部署它們。只有在測試部署滿足要求并可成功融入生產環(huán)境時，才在外圍網(wǎng)絡中部署邊緣服務器。

至少要部署一個 Director 來充當入站外部通信的身份驗證網(wǎng)關。

在僅運行所需服務的專用計算機上部署邊緣服務器。這包括在計算機上禁用不必要的服務并且僅運行必需的程序，例如使用 Microsoft SIP 處理語言 (MSPL) 和 Office Communications Server API 開發(fā)的包含路由邏輯的程序。

在計算機上盡可能早地啟用監(jiān)控和審核。

使用具有兩個網(wǎng)絡適配器的計算機，以便將內部網(wǎng)絡接口和外部網(wǎng)絡接口從物理上分離開。

【51CTO獨家特稿，合作站點轉載請注明原文譯者和出處。】

【編輯推薦】

1. 深度解答OCS 2007中即時通信的安全問題
2. 現(xiàn)場演示企業(yè)溝通之道—Microsoft OCS + VoIP