Làm thế nào bạn cấu hình tường lửa của bạn phần lớn phụ thuộc vào các bức tường lửa cụ thể mà bạn sử dụng trong tổ chức. Tuy nhiên, tường lửa đều có yêu cầu cấu hình phổ biến mà được cụ thể cho Microsoft Lync Server 2010. Thực hiện theo hướng dẫncủa nhà sản xuất cho mỗi cấu hình tường lửa, cùng với các thông tin trong phần này,trong đó mô tả các thiết lập mà phải được cấu hình trên hai bức tường lửa. Để phù hợp với các yêu cầu của một địa chỉ IP công khai định tuyến của các dịch vụ A / V Edge, tường lửa bên ngoài chu vi của mạng không phải hoạt động như một NAT cho địa chỉ IP khi một phần cứng hoặc cân bằng tải DNS đang được sử dụng. Nếu máy chủ Edge là một máy chủ Edge duy nhất, Lync Server 2010 cho phép sử dụng NATcho tất cả 3 dịch vụ Edge.
Ngoài ra, các bức tường lửa nội bộ không phải hoạt động như một NAT cho địa chỉ IP nội bộ của các dịch vụ A /V Edge. Các địa chỉ IP nội bộ của các dịch vụ A /V Edge phải có đầy đủ khả năng định tuyến từ mạng nội bộ đến địa chỉ IP nội bộ của các dịch vụ A /V Edge.
Để biết chi tiết về cấu hình tường lửa nội bộ và bên ngoài của phạm vi mạng của bạn, hãy xem giới hạn bên ngoài A/V Firewall và Port yêu cầu trong tài liệu.
Thực tiễn tốt nhất
- Để giúp tăng cường an ninh trong phạm vi mạng của bạn, chúng tôi khuyên bạn triển khai các máy theo các cách sau:
- Tạo một trong subnet mới của router giành cho Lync Server.
- Xác nhận rằng lưu lượng truy cập đến các mạng con Server Lync không định tuyến đến các mạng con khác.
- Trên router đầu tiên của bạn, cấu hình các quy tắc để đảm bảo rằng không có định tuyến giữa các mạng con Server Lync của bạn và mạng con khác.
- Trên router nội bộ của bạn, không cho phép bất cứ sự quảng bá hoặc đa điểm đến từ các mạng con Lync Server trong phạm vi mạng của bạn.
- Triển khai các máy chủ Edge giữa hai tường lửa (firewall tường lửa nội bộ và bên ngoài) để đảm bảo đúng định tuyến từ một mạng Edge đến mạng khác.
Ngoài ra, để nâng cao hiệu suất và bảo mật máy chủ Edge, cũng như để tạo điều kiện triển khai, sử dụng các hướng dẫn sau đây khi thiết lập quá trình triển khai của bạn:
- Triển khai các máy chủ Edge chỉ sau khi bạn hoàn thành triển khai Lync Server 2010 bên trong tổ chức của bạn, trừ khi bạn đang chuyển từ Microsoft Office Communications Server 2007 để Lync Server 2010.
- Triển khai các máy chủ trong một nhóm làm việc Edge chứ không phải là một miền.Làm như vậy đơn giản hóa việc cài đặt và giữ Active Directory Domain Services trong mạng vành đai. Active Directory Domain Services trong phạm vi mạng có thể đưa ra một nguy cơ không bảo mật quan trọng.
- Triển khai các máy chủ Edge trong một môi trường tổ chức hoặc phòng thí nghiệm của bạn trước khi triển khai chúng trong môi trường sản xuất. Triển khai các máy chủ Edge trong mạng vành đai của bạn chỉ khi bạn đã hài lòng rằng việc triển khai thử nghiệm đáp ứng yêu cầu của bạn và rằng nó có thể được kết hợp thành công trong một môi trường sản xuất.
- Triển khai ít nhất một Directory hoạt động như một gateway chứng thực cho giao thông bên ngoài vào.
- Triển khai các máy chủ trên các máy tính chuyên dụng cạnh mà chỉ chạy những gì là cần thiết. Điều này bao gồm việc vô hiệu hóa dịch vụ không cần thiết và chỉ chạy các chương trình cần thiết trên máy tính, chẳng hạn như các chương trình thể hiện định tuyến logic được phát triển bằng cách sử dụng Microsoft SIP xử lý ngôn ngữ (MSPL) và các Lync Server API.
- Kích hoạt tính năng theo dõi và kiểm toán càng sớm càng tốt trên máy tính.
- Sử dụng một máy tính có hai card mạng để cung cấp tách vật lý của các giao diện mạng nội bộ và bên ngoài.