В настоящее время я использую Forefront TMG для обратного прокси-сервера Exchange 2010 во внешний мир.
Сейчас я готовлю среду Exchange 2016 и, поскольку Forefront TMG устаревает, мне нужно решение без нее. Теперь у меня есть pfSense и HAProxy в качестве первой линии защиты и балансировки нагрузки.
У меня вопрос: стоит ли добавлять обратный прокси между балансировщиком нагрузки и Exchange? Где это выгодно? Все это работает от того же гипервизора и внутренней инфраструктуры хранения.
Я знаю, что HAPrxoy 1.8 теперь имеет возможность кэширования небольших объектов в памяти, что может ускорить работу веб-служб. Но с другой стороны, только OWA и ECP имеют статический контент.
Любые идеи?
Приветствую,
Рональд
У меня есть прокси-сервер приложения Azure AD для управления моей локальной средой Exchange. Причины для этого связаны с безопасностью.
С помощью внешнего прокси-уровня вы можете реализовать любые другие правила, которые Exchange не реализует изначально. Ограничения IP, ограничения geoIP, многофакторная аутентификация и т. Д. - все, что поддерживает ваш прокси.
У вас не открыты порты 80 и 443 для ваших серверов Exchange, работающих под управлением Windows, и они могут иметь неизвестные уязвимости. Очевидно, что вы зависите от вашего прокси, чтобы иметь меньше уязвимостей, но даже если они перейдут во владение, пока прокси не является членом домена и находится в какой-либо форме DMZ, размер ущерба, который может нанести прокси-машина. do, надеюсь, намного меньше, чем собственная машина Exchange.
Предостережение. Если ваш прокси-сервер не предоставляет вам больше функций безопасности и / или не снижает поверхность атаки, то все, что вы сделали, - это усложнили свою среду без каких-либо последствий.