我们希望在 vSphere 集群上部署单一整合边缘。通过阅读 Microsoft 文档,似乎需要两层防火墙。
Internet <--> Firewall <--> Edge Server/Reverse Proxy <--> Firewall <--> Front End/LAN
实际上,给定一个只有一个面向外部的防火墙的虚拟环境,您是否真的需要在 Edge(它将有两个 NICS,一个在 DMZ 上,一个在具有静态路由/无默认网关的 LAN 上)和 LAN 上的前端服务器之间建立另一个防火墙?
就此而言 - 关于反向代理,为什么不能直接从 WAN 进行 NAT 到 Lync Web 服务前端的 LAN 接口?
答案1
Microsoft 针对 Lync/SfB 部署的最佳实践和设计指南建议:
- 使用反向代理发布前端服务器的外部 Web 服务。
- 将边缘服务器放置在被锁定在两个防火墙之间的位置,一个防火墙将其公共接口与 Internet 分开,另一个防火墙将其内部接口与 LAN 分开。
也就是说,使用更简单的配置实际上相当常见:
- 反向代理确实可以用简单的 NAT 代替,但您需要重新映射 TCP 端口,因为外部 Web 服务需要在 TCP 端口 443 上发布,但它们实际上是在 TCP 端口 4443 上监听前端服务器(端口 443 用于内部的网页服务)。
- Edge 服务器可以将其内部接口直接连接到您的 LAN;但是,请记住,这是一个潜在的安全风险:如果 Edge 服务器受到威胁,它可以(并且将)被用作进入您的网络的桥头堡;这是在它和您的 LAN 之间放置防火墙的主要设计原因。