• Article

Pare-feu pour Office Communications Server 2007 R2

Dernière rubrique modifiée : 2009-05-22

La façon dont vous configurez vos pare-feu dépend en large partie des pare-feu spécifiques utilisés au sein de votre organisation. Toutefois, chaque pare-feu doit également respecter des exigences en matière de configuration propres à Office Communications Server 2007 R2. Suivez les instructions du fabricant pour configurer chaque pare-feu, ainsi que les informations de cette section qui décrivent les paramètres applicables aux deux pare-feu.

Pour que l'adresse IP du service Edge A/V soit routable publiquement, le pare-feu externe du réseau de périmètre ne doit pas agir en tant que NAT pour cette adresse IP en cas d'utilisation d'un programme d'équilibrage de charge matérielle. Si le serveur de périphérie est un serveur de périphérique consolidé unique, Office Communications Server 2007 R2 permet l'utilisation d'un NAT pour les trois services de périphérie.

En outre, le pare-feu interne ne doit pas agir en tant que NAT pour l'adresse IP interne du service Edge A/V. Cette adresse doit être intégralement routable, depuis le réseau interne jusqu'à l'adresse IP interne du service Edge A/V.

La figure suivante indique quels ports du pare-feu sont utilisés par défaut pour chaque serveur inclus dans le réseau de périmètre. Pour plus d'informations sur la configuration du pare-feu interne et externe de votre réseau de périmètre, consultez Déploiement de serveurs de périphérie pour l'accès des utilisateurs externes.

Figure 1. Ports de pare-feu par défaut des serveurs du réseau de périmètre

Dd572904.75f1add0-23ec-4add-8738-719f68adccfa(fr-fr,office.13).jpg

Meilleures pratiques

Pour renforcer la sécurité de votre réseau de périmètre, nous vous conseillons de suivre les recommandations ci-dessous pour le déploiement des serveurs de périphérie :

  • Créez un sous-réseau pour Office Communications Server, à partir de votre routeur.
  • Vérifiez que le trafic destiné à ce sous-réseau n'est pas réacheminé vers d'autres sous-réseaux.
  • Sur le routeur d'origine, configurez des règles interdisant tout routage entre le sous-réseau Office Communications Server 2007 R2 et les autres sous-réseaux (à l'exception d'un sous-réseau de gestion pouvant contenir des services d'administration pour le réseau de périmètre).
  • Sur votre routeur interne, interdisez toutes les diffusions ou multidiffusions provenant du sous-réseau d'Office Communications Server 2007 R2 vers le réseau de périmètre.
  • Déployez les serveurs de périphérie entre deux pare-feu (interne et externe) pour garantir un routage strict d'un côté du réseau à l'autre.

En outre, pour améliorer les performances et le niveau de sécurité des serveurs de périphérie, mais aussi pour faciliter le déploiement, appliquez les recommandations suivantes :

  • Déployez des serveurs de périphérie uniquement après avoir déployé Office Communications Server 2007 R2 au sein de votre organisation, sauf si vous effectuez une migration de Microsoft Office Live Communications Server 2005 avec Service Pack 1 vers Microsoft Office Communications Server 2007 R2. Pour plus d'informations sur le processus de migration, consultez Migration à partir d'Office Communications Server 2007.
  • Déployez les serveurs de périphérie dans un groupe de travail plutôt que dans un domaine. Cette option permet de simplifier l'installation et de garder les services de domaine Active Directory en dehors du réseau de périmètre. L'ajout des services de domaine Active Directory au réseau de périmètre peut représenter un risque important au niveau de la sécurité.
  • Déployez vos serveurs de périphérie dans un environnement temporaire ou de test avant de les déployer dans votre environnement de production. Ne déployez vos serveurs de périphérie dans votre réseau de périmètre que si le déploiement de test remplit les conditions requises et peut être reproduit avec succès dans un environnement de production.
  • Déployez au moins un directeur pour qu'il fonctionne comme passerelle d'authentification pour le trafic externe entrant.
  • Déployez les serveurs de périphérie sur des ordinateurs dédiés n'exécutant aucun programme superflu. Désactivez tous les services inutiles et exécutez uniquement les programmes indispensables tels que ceux définissant la logique de routage, qui sont développés en langage MSPL (Microsoft SIP Processing Language), ou encore l'API d'Office Communications Server.
  • Activez la surveillance et l'audit dès que possible sur l'ordinateur.
  • Utilisez un ordinateur équipé de deux cartes d'interface réseau, afin de matérialiser la séparation physique entre les interfaces réseau interne et externe.