Derzeit verwende ich Forefront TMG, um Exchange 2010 per Reverse-Proxy mit der Außenwelt zu verbinden.
Ich bereite gerade eine Exchange 2016-Umgebung vor und da Forefront TMG veraltet ist, möchte ich eine Lösung ohne es. Ich habe jetzt pfSense und HAProxy als erste Verteidigungslinie und Lastausgleich.
Meine Frage: Sollten Sie zwischen dem Load Balancer und Exchange einen Reverse-Proxy hinzufügen? Wo ist das von Vorteil? Es läuft alles über denselben Hypervisor und die darunterliegende Speicherinfrastruktur.
Ich weiß, dass HAPrxoy 1.8 jetzt die Möglichkeit bietet, kleine Objekte im Arbeitsspeicher zwischenzuspeichern, was die Webdienste beschleunigen könnte. Andererseits haben jedoch nur OWA und ECP statische Inhalte.
Irgendwelche Ideen?
Grüße,
Ronald
Antwort1
Ich habe einen Azure AD App-Proxy als Front-End für meine lokale Exchange-Umgebung. Die Gründe dafür liegen alle in der Sicherheit.
Mit einer externen Proxy-Schicht können Sie beliebige andere Regeln implementieren, die Exchange nicht nativ implementiert. IP-Einschränkungen, GeoIP-Einschränkungen, Multifaktor-Authentifizierung usw. – was auch immer Ihr Proxy unterstützt.
Sie haben die Ports 80 und 443 für Ihre Exchange-Server, auf denen Windows läuft, nicht geöffnet und weisen möglicherweise unbekannte Schwachstellen auf. Sie sind natürlich darauf angewiesen, dass Ihr Proxy weniger Schwachstellen aufweist – aber selbst wenn diese gehackt werden, ist der Schaden, den ein gehackter Proxy-Rechner anrichten kann, hoffentlich viel geringer als der eines gehackten Exchange-Rechners, solange der Proxy kein Domänenmitglied ist und sich in einer Art DMZ befindet.
Vorbehalt: Wenn Ihr Proxy Ihnen nicht mehr Sicherheitsfunktionen bietet und/oder Ihre Angriffsfläche nicht reduziert, dann haben Sie lediglich Ihre Umgebung komplizierter gemacht, ohne dass sich daraus etwas ergeben hätte.