外部使用者存取的防火牆需求

上次修改主題的時間： 2010-04-16

設定防火牆的方式大多取決於組織中所使用的特定防火牆，但是每個防火牆也有 Office Communications Server 2007 R2 的一般設定需求。請遵循製造商對於每個防火牆的設定指示，同時參考本節所述資訊，內含關於內部和外部防火牆上必須設定的設定值。

可公開路由的 IP 位址

若某個位置部署有多部 Edge Server 且前方有負載平衡器，則外部防火牆不可當做網路位址轉譯 (NAT)。不過，只部署單一 Edge Server 的站台上，外部防火牆就可以設定為 NAT。

如果要執行這項作業，請將 NAT 設定為輸入流量的目的地網路位址轉譯 (DNAT)。換句話說，請將用於從網際網路通往 Edge Server 之流量的任何防火牆篩選器設定為 DNAT，而且將用於從 Edge Server 通往網際網路之流量 (輸出流量) 的任何防火牆篩選器設定為來源網路位址轉譯 (SNAT)。輸入和輸出篩選器必須對應至相同的公用 IP 位址和相同的私人 IP 位址，如圖 1 所示。

圖 1. 範例 DNAT 和 SNAT 設定

但是在所有拓撲中，針對任何 Edge Server 的內部 IP 位址，內部防火牆不能做為 NAT 來使用。

附註：
Microsoft Internet Security and Acceleration (ISA) Server 除了支援做為反向 Proxy 之外，還可支援做為 Office Communications Server 2007 R2 的防火牆。下列 ISA 版本可支援做為防火牆： ISA Server 2006 ISA Server 2004 如果 ISA Server 當做防火牆來使用，不支援將它設定為 NAT，因為 ISA Server 2006 不支援靜態 NAT。

預設連接埠

下圖說明周邊網路中每部伺服器的預設防火牆連接埠。

圖 2. 周邊網路中的預設防火牆連接埠

下列各節將為每個拓撲中要針對每個伺服器角色進行設定的所有連接埠提供詳細資訊，並將上一個圖例中的數字對應至個別的連接埠說明。

Edge Server 防火牆原則規則

下列三個表格說明要針對 Edge Server 設定的防火牆原則規則。列在不同表格的設定，有助說明 Edge Server 上執行的每個服務使用哪些連接埠設定。

下列各節列出周邊網路中每部伺服器所需的防火牆原則規則。各節的表格中，數字對應欄位中的數字會對應至圖 2 的數字。

在下表中，方向標示為輸出之防火牆原則規則的定義如下：

• 在內部防火牆上，其方向會對應至內部 (私人) 網路上的伺服器通往周邊網路中 Edge Server 的流量方向。
• 在外部防火牆上，其方向會對應至周邊網路中的 Edge Server 通往網際網路的流量方向。

表 1 Access Edge Service 的防火牆設定

防火牆	原則規則	數字對應
內部	本機連接埠：任何一個。 方向：輸入 (以供遠端使用者存取與同盟)。 遠端連接埠：5061 TCP (TCP/MTLS)。 本機 IP 位址：Access Edge Service 的內部 IP 位址。 遠端 IP：下一個躍點伺服器的 IP 位址。如果部署了 Director，請使用 Director 的 IP 位址；或者，如果 Director 陣列有經過負載平衡，請使用負載平衡器的 VIP。	5
內部	本機連接埠：5061 TCP (SIP/MTLS)。 方向：輸出 (以供遠端使用者存取與同盟)。 遠端連接埠：任何一個。 本機 IP 位址：Access Edge Service 的內部 IP 位址。 遠端 IP：如果沒有部署 Director，您可以使用任何一個 IP 位址。如果部署了 Director，請使用 Director 的 IP 位址；或者，如果 Director 陣列有經過負載平衡，請使用負載平衡器的虛擬 IP 位址。	5
外部	本機連接埠：5061 TCP (SIP/MTLS)。 方向：輸入/輸出 (同盟)。 遠端連接埠：任何一個。 本機 IP：Access Edge Service 的外部 IP 位址。 遠端 IP：任何 IP 位址。	3
外部	本機連接埠：443 TCP (SIP/TLS)。 方向：輸入 (以供遠端使用者存取)。 遠端連接埠：任何一個。 本機 IP：Access Edge Service 的外部 IP 位址。 遠端 IP：任何 IP 位址。	4
外部	本機連接埠：53 DNS。 方向：輸出 (以供 DNS 查詢)。 遠端連接埠：任何一個。 本機 IP：Access Edge Service 的外部 IP 位址。 遠端 IP：任何 IP 位址。	11
外部	本機連接埠：80 HTTP。 方向：輸出 (以供下載憑證撤銷清單)。 遠端連接埠：任何一個。 本機 IP：Access Edge Service 的外部 IP 位址。 遠端 IP：任何 IP 位址。	15

附註：
持續性共用物件模型 (PSOM) 是 Microsoft 用於 Web 會議的專屬通訊協定。

表 2 Web Conferencing Edge Service 的防火牆設定

防火牆	原則規則	數字對應
內部	本機連接埠：8057 TCP (PSOM/MTLS) 方向：輸出 (用於內部 Web 會議伺服器和 Web Conferencing Edge Service 之間的流量傳輸) 遠端連接埠：任何一個 本機 IP：Web Conferencing Edge Service 的內部 IP 位址 遠端 IP：任何 IP 位址	7
外部	本機連接埠：443 TCP (PSOM/TLS) 方向：輸入 (以供遠端、匿名與同盟使用者存取內部 Web 會議) 遠端連接埠：任何一個 本機 IP：Web Conferencing Edge Service 的外部 IP 位址 遠端 IP：任何 IP 位址	6

表 3 A/V Edge Service 的防火牆設定

防火牆	原則規則	數字對應
內部	本機連接埠：443 TCP (STUN/TCP)。 方向：輸出 (以供內部使用者和外部使用者之間的媒體傳輸)。 遠端連接埠：任何一個。 本機 IP：A/V Edge Service 的內部 IP 位址。 遠端 IP：任何 IP 位址。	12
內部	本機連接埠：5062 TCP (SIP/MTLS)。 方向：輸出 (以供驗證音訊/視訊使用者)。 遠端連接埠：任何一個。 本機 IP：A/V Edge Service 的內部 IP 位址。 遠端 IP：任何 IP 位址。	13
內部	本機連接埠：3478 UDP (STUN/UDP)。 方向：輸出 (以供內部使用者和外部使用者之間的媒體傳輸)。請注意，這是必要的最佳估計設定值；由於 UDP 和不同防火牆的本質，您的防火牆可能需要不同的設定。 遠端連接埠：任何一個。 本機 IP：A/V Edge Service 的內部 IP 位址。 遠端 IP：任何 IP 位址。 附註： 如果您將 ISA Server 當成防火牆來使用，您必須設定傳送/接收規則。	14
外部	本機連接埠：443 TCP (STUN/TCP)。 方向：輸入 (以供外部使用者存取媒體與 A/V 工作階段)。 遠端連接埠：任何一個。 本機 IP：A/V Edge Service 的外部 IP 位址。 遠端 IP：任何 IP 位址。	8
外部	本機連接埠：3478 UDP (STUN/UDP)。 方向：輸入/輸出 (以供外部使用者連線至媒體或 A/V 工作階段)。請注意，這是必要的最佳估計設定值；由於 UDP 和不同防火牆的本質，您的防火牆可能需要不同的設定。 遠端連接埠：任何一個。 本機 IP：A/V Edge Service 的外部 IP 位址。 遠端 IP：任何 IP 位址。 附註： 如果您將 ISA Server 當成防火牆來使用，您必須設定傳送/接收規則。	10
外部	本機連接埠範圍：50,000-59,999 TCP (RTP/TCP) (如需當同盟組織使用舊版 Office Communications Server 時此連接埠範圍的詳細資訊，請參閱50,000 - 59,999 連接埠範圍)。 方向：輸出 (用於媒體傳輸)。 遠端連接埠：任何一個。 本機 IP：A/V Edge Service 的外部 IP 位址。 遠端 IP：任何 IP 位址。	9

反向 Proxy 防火牆原則規則

下表說明必須針對反向 Proxy 設定的防火牆原則。

表 4 反向 Proxy 的防火牆設定

防火牆	原則規則	數字對應
內部	本機連接埠：任何一個 方向：輸入 (以供外部使用者存取 Web 會議) 遠端連接埠：443 TCP (HTTP(S)) 本機 IP：反向 Proxy 的內部 IP 位址 遠端 IP：任何一個	2
外部	本機連接埠：443 TCP (HTTP(S)) 方向：輸入 遠端連接埠：任何一個 本機 IP 位址：HTTP 反向 Proxy 的外部 IP 位址 遠端 IP：任何一個 附註： 如果您希望讓使用者能夠從內部網路連線到其他公司所主持的外部會議，請開啟輸出方向的連接埠 443。	1