Actualmente ejecuto Forefront TMG para revertir el proxy Exchange 2010 al mundo exterior.
Ahora estoy preparando un entorno Exchange 2016 y, dado que Forefront TMG se está volviendo obsoleto, quiero una solución sin él. Ahora tengo pfSense y HAProxy como primera línea de defensa y equilibrio de carga.
La pregunta que tengo: ¿Debería agregar un proxy inverso entre el balanceador de carga y Exchange? ¿Dónde es esto beneficioso? Todo se ejecuta desde el mismo hipervisor y la misma infraestructura de almacenamiento subyacente.
Sé que HAPrxoy 1.8 ahora tiene la capacidad de almacenar en caché objetos pequeños en memoria, lo que podría acelerar los servicios web. Pero, por otro lado, sólo OWA y ECP tienen algún contenido estático.
¿Algunas ideas?
Saludos,
ronald
Respuesta1
Tengo el proxy de la aplicación Azure AD para gestionar mi entorno Exchange local. Las razones para hacerlo tienen que ver con la seguridad.
Con una capa de proxy externa, puede implementar cualquier otra regla que desee y que Exchange no implemente de forma nativa. Restricciones de IP, restricciones de geoIP, autenticación multifactor, etc., lo que sea que admita su proxy.
No tienes los puertos 80 y 443 abiertos para tus servidores Exchange, que ejecutan Windows, y pueden tener vulnerabilidades desconocidas. Obviamente, dependes de que tu proxy tenga menos vulnerabilidades, pero incluso si son de propiedad, siempre y cuando el proxy no sea miembro del dominio y esté en algún tipo de DMZ, la cantidad de daño que una máquina proxy pwned puede Es de esperar que sea mucho más pequeño que una máquina Exchange propia.
Advertencia: si su proxy no le brinda más funciones de seguridad y/o reduce su superficie de ataque, entonces todo lo que ha hecho es complicar su entorno sin ningún beneficio.