【51CTO獨(dú)家特稿】在OCS（Office Communications Server ）中具體的防火墻的配置方式在很大程度上取決于用戶在組織中使用的特定防火墻。不過(guò)，每種防火墻都具有特定于 Office Communications Server 2007 R2 的常見配置要求。需要按照制造商提供的說(shuō)明配置每種防火墻，并了解必須在兩種防火墻上配置哪些設(shè)置。

若要滿足 A/V 邊緣服務(wù)對(duì)公共可路由 IP 地址的要求，在使用硬件負(fù)載平衡器時(shí)，外圍網(wǎng)絡(luò)的外部防火墻不得用作此 IP 地址的 NAT。如果邊緣服務(wù)器是一臺(tái)合并的邊緣服務(wù)器，則 Office Communications Server 2007 R2 將允許對(duì)所有這三種邊緣服務(wù)使用 NAT。

此外，內(nèi)部防火墻也不得用作 A/V 邊緣服務(wù)的內(nèi)部 IP 地址的 NAT。A/V 邊緣服務(wù)的內(nèi)部 IP 地址從內(nèi)部網(wǎng)絡(luò)到 A/V 邊緣服務(wù)的內(nèi)部 IP 地址必須是完全可路由的。

下圖顯示外圍網(wǎng)絡(luò)中的每臺(tái)服務(wù)器的默認(rèn)防火墻端口。有關(guān)配置外圍網(wǎng)絡(luò)的內(nèi)部防火墻和外部防火墻的詳細(xì)信息，請(qǐng)參閱部署邊緣服務(wù)器供外部用戶訪問(wèn)。

圖 1. 外圍網(wǎng)絡(luò)服務(wù)器的默認(rèn)防火墻端口

為了幫助增強(qiáng)外圍網(wǎng)絡(luò)的安全性，建議用戶按照以下方式部署邊緣服務(wù)器：

在路由器外部為 Office Communications Server 創(chuàng)建新的子網(wǎng)。

確保傳至此 Office Communications Server 子網(wǎng)的通信不會(huì)路由到其他子網(wǎng)。

在初始路由器中配置規(guī)則，以確保在 Office Communications Server 2007 R2 子網(wǎng)和其他子網(wǎng)（可能包含外圍網(wǎng)絡(luò)的管理服務(wù)的管理子網(wǎng)除外）之間不存在路由。

在內(nèi)部路由器中，不允許有來(lái)自外圍網(wǎng)絡(luò)中的 Office Communications Server 2007 R2 子網(wǎng)的任何廣播或多播。

在兩個(gè)防火墻（一個(gè)內(nèi)部防火墻和一個(gè)外部防火墻）之間部署邊緣服務(wù)器，以確保嚴(yán)格遵循從一個(gè)網(wǎng)絡(luò)邊緣到另一個(gè)網(wǎng)絡(luò)邊緣的路由。

此外，為了提高邊緣服務(wù)器的性能和安全并簡(jiǎn)化部署，在建立部署過(guò)程時(shí)可遵循以下準(zhǔn)則：

只有在組織內(nèi)部署完 Office Communications Server 2007 R2 之后才部署邊緣服務(wù)器，除非您要從 Microsoft Office Live Communications Server 2005 Service Pack 1 遷移到 Microsoft Office Communications Server 2007 R2。有關(guān)遷移過(guò)程的詳細(xì)信息，請(qǐng)參閱從 Office Communications Server 2007 遷移。

在工作組中而不是域中部署邊緣服務(wù)器。這樣做可以簡(jiǎn)化安裝，并使 Active Directory 域服務(wù)與外圍網(wǎng)絡(luò)隔離。將 Active Directory 域服務(wù)置于外圍網(wǎng)絡(luò)中可能會(huì)造成嚴(yán)重的安全風(fēng)險(xiǎn)。

在生產(chǎn)環(huán)境中部署邊緣服務(wù)器之前，首先在臨時(shí)或?qū)嶒?yàn)室環(huán)境中部署它們。只有在測(cè)試部署滿足要求并可成功融入生產(chǎn)環(huán)境時(shí)，才在外圍網(wǎng)絡(luò)中部署邊緣服務(wù)器。

至少要部署一個(gè) Director 來(lái)充當(dāng)入站外部通信的身份驗(yàn)證網(wǎng)關(guān)。

在僅運(yùn)行所需服務(wù)的專用計(jì)算機(jī)上部署邊緣服務(wù)器。這包括在計(jì)算機(jī)上禁用不必要的服務(wù)并且僅運(yùn)行必需的程序，例如使用 Microsoft SIP 處理語(yǔ)言 (MSPL) 和 Office Communications Server API 開發(fā)的包含路由邏輯的程序。

在計(jì)算機(jī)上盡可能早地啟用監(jiān)控和審核。

使用具有兩個(gè)網(wǎng)絡(luò)適配器的計(jì)算機(jī)，以便將內(nèi)部網(wǎng)絡(luò)接口和外部網(wǎng)絡(luò)接口從物理上分離開。

【51CTO獨(dú)家特稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處?！?/p>

【編輯推薦】

1. 深度解答OCS 2007中即時(shí)通信的安全問(wèn)題
2. 現(xiàn)場(chǎng)演示企業(yè)溝通之道—Microsoft OCS + VoIP