【51CTO独家特稿】在OCS（Office Communications Server ）中具体的防火墙的配置方式在很大程度上取决于用户在组织中使用的特定防火墙。不过，每种防火墙都具有特定于 Office Communications Server 2007 R2 的常见配置要求。需要按照制造商提供的说明配置每种防火墙，并了解必须在两种防火墙上配置哪些设置。

若要满足 A/V 边缘服务对公共可路由 IP 地址的要求，在使用硬件负载平衡器时，外围网络的外部防火墙不得用作此 IP 地址的 NAT。如果边缘服务器是一台合并的边缘服务器，则 Office Communications Server 2007 R2 将允许对所有这三种边缘服务使用 NAT。

此外，内部防火墙也不得用作 A/V 边缘服务的内部 IP 地址的 NAT。A/V 边缘服务的内部 IP 地址从内部网络到 A/V 边缘服务的内部 IP 地址必须是完全可路由的。

下图显示外围网络中的每台服务器的默认防火墙端口。有关配置外围网络的内部防火墙和外部防火墙的详细信息，请参阅部署边缘服务器供外部用户访问。

图 1. 外围网络服务器的默认防火墙端口

为了帮助增强外围网络的安全性，建议用户按照以下方式部署边缘服务器：

在路由器外部为 Office Communications Server 创建新的子网。

确保传至此 Office Communications Server 子网的通信不会路由到其他子网。

在初始路由器中配置规则，以确保在 Office Communications Server 2007 R2 子网和其他子网（可能包含外围网络的管理服务的管理子网除外）之间不存在路由。

在内部路由器中，不允许有来自外围网络中的 Office Communications Server 2007 R2 子网的任何广播或多播。

在两个防火墙（一个内部防火墙和一个外部防火墙）之间部署边缘服务器，以确保严格遵循从一个网络边缘到另一个网络边缘的路由。

此外，为了提高边缘服务器的性能和安全并简化部署，在建立部署过程时可遵循以下准则：

只有在组织内部署完 Office Communications Server 2007 R2 之后才部署边缘服务器，除非您要从 Microsoft Office Live Communications Server 2005 Service Pack 1 迁移到 Microsoft Office Communications Server 2007 R2。有关迁移过程的详细信息，请参阅从 Office Communications Server 2007 迁移。

在工作组中而不是域中部署边缘服务器。这样做可以简化安装，并使 Active Directory 域服务与外围网络隔离。将 Active Directory 域服务置于外围网络中可能会造成严重的安全风险。

在生产环境中部署边缘服务器之前，首先在临时或实验室环境中部署它们。只有在测试部署满足要求并可成功融入生产环境时，才在外围网络中部署边缘服务器。

至少要部署一个 Director 来充当入站外部通信的身份验证网关。

在仅运行所需服务的专用计算机上部署边缘服务器。这包括在计算机上禁用不必要的服务并且仅运行必需的程序，例如使用 Microsoft SIP 处理语言 (MSPL) 和 Office Communications Server API 开发的包含路由逻辑的程序。

在计算机上尽可能早地启用监控和审核。

使用具有两个网络适配器的计算机，以便将内部网络接口和外部网络接口从物理上分离开。

【51CTO独家特稿，合作站点转载请注明原文译者和出处。】

【编辑推荐】

1. 深度解答OCS 2007中即时通信的安全问题
2. 现场演示企业沟通之道—Microsoft OCS + VoIP