目前我运行 Forefront TMG 来将 Exchange 2010 反向代理到外界。
我现在正在准备 Exchange 2016 环境,由于 Forefront TMG 已经过时,我想要一个没有它的解决方案。我现在有 pfSense 和 HAProxy 作为第一道防线和负载平衡。
我的问题是:您是否应该在负载均衡器和 Exchange 之间添加反向代理?这有什么好处?它们都从下面的同一虚拟机管理程序和存储基础架构运行。
我知道 HAPrxoy 1.8 现在具有小对象内存缓存功能,这可能会加速 Web 服务。但另一方面,只有 OWA 和 ECP 有一些静态内容。
有任何想法吗?
问候,
罗纳德
答案1
我有 Azure AD App 代理来作为我的本地 Exchange 环境的前端。这样做的原因都是出于安全考虑。
使用外部代理层,您可以实现 Exchange 本身未实现的任何其他规则。IP 限制、geoIP 限制、多因素身份验证等 - 您的代理将支持任何内容。
您没有向运行 Windows 的 Exchange 服务器开放端口 80 和 443,因此可能存在未知漏洞。显然,您依赖代理来减少漏洞 - 但即使它们被控制,只要代理不是域成员并且处于某种形式的 DMZ 中,被控制的代理机器可能造成的损害程度有望比被控制的 Exchange 机器小得多。
警告 - 如果您的代理没有为您提供更多的安全功能和/或减少您的攻击面,那么您所做的只是使您的环境复杂化而没有任何回报。