현재 저는 Exchange 2010을 외부로 역방향 프록시하기 위해 Forefront TMG를 실행하고 있습니다.
현재 Exchange 2016 환경을 준비하고 있으며 Forefront TMG가 더 이상 사용되지 않으므로 이 환경이 없는 솔루션을 원합니다. 이제 pfSense와 HAProxy가 1차 방어선과 로드 밸런싱으로 사용됩니다.
제가 갖고 있는 질문은 다음과 같습니다. 로드 밸런서와 Exchange 사이에 역방향 프록시를 추가해야 합니까? 이것이 어디에 유익합니까? 모두 동일한 하이퍼바이저와 아래의 스토리지 인프라에서 실행됩니다.
HAProxoy 1.8에는 이제 웹 서비스를 가속화할 수 있는 메모리 내 작은 개체 캐싱 기능이 있다는 것을 알고 있습니다. 그러나 반면에 OWA와 ECP에만 일부 정적 콘텐츠가 있습니다.
어떤 아이디어가 있나요?
인사말,
로널드
답변1
온프레미스 Exchange 환경을 프런트엔드하기 위한 Azure AD 앱 프록시가 있습니다. 이를 수행하는 이유는 보안과 관련이 있습니다.
외부 프록시 계층을 사용하면 Exchange가 기본적으로 구현하지 않는 다른 규칙을 원하는 대로 구현할 수 있습니다. IP 제한, geoIP 제한, 다단계 인증 등 - 프록시가 지원하는 모든 것.
Windows를 실행하는 Exchange 서버에 열려 있는 포트 80 및 443이 없으며 알 수 없는 취약점이 있을 수 있습니다. 분명히 취약성을 줄이기 위해 프록시에 의존하고 있습니다. 그러나 프록시가 소유되더라도 프록시가 도메인 구성원이 아니고 일종의 DMZ 형식인 한, 프록시 시스템이 입힐 수 있는 피해량은 다음과 같습니다. do는 소유한 Exchange 시스템보다 훨씬 작을 것으로 예상됩니다.
주의 사항 - 프록시가 더 많은 보안 기능을 제공하지 않거나 공격 표면을 줄이지 않는다면 아무런 보상도 없이 환경을 복잡하게 만든 것입니다.