Atualmente executo o Forefront TMG para reverter o proxy do Exchange 2010 para o mundo exterior.
Agora estou preparando um ambiente Exchange 2016 e com o Forefront TMG ficando obsoleto, quero uma solução sem ele. Agora tenho o pfSense e o HAProxy como primeira linha de defesa e balanceamento de carga.
A minha pergunta é: você deve adicionar um proxy reverso entre o balanceador de carga e o Exchange? Onde isso é benéfico? Tudo é executado no mesmo hipervisor e infraestrutura de armazenamento abaixo.
Eu sei que o HAPrxoy 1.8 agora tem a capacidade de armazenar pequenos objetos em cache na memória, o que pode acelerar os serviços da web. Mas por outro lado, apenas OWA e ECP possuem algum conteúdo estático.
Alguma ideia?
Saudações,
Ronaldo
Responder1
Tenho o proxy do aplicativo Azure AD para front-end do meu ambiente Exchange local. As razões para fazer isso estão relacionadas à segurança.
Com uma camada de proxy externa, você pode implementar quaisquer outras regras que desejar e que o Exchange não implemente nativamente. Restrições de IP, restrições de geoIP, autenticação multifator, etc. - qualquer que seja o suporte do seu proxy.
Você não tem as portas 80 e 443 abertas para seus servidores Exchange, que executam o Windows, e podem ter vulnerabilidades desconhecidas. Você depende do seu proxy para ter menos vulnerabilidades, obviamente - mas mesmo que eles sejam de propriedade, desde que o proxy não seja membro do domínio e esteja em alguma forma de DMZ, a quantidade de dano que uma máquina proxy controlada pode fazer é, esperançosamente, muito menor do que uma máquina Exchange própria.
Advertência - Se o seu proxy não oferece mais recursos de segurança e/ou reduz sua superfície de ataque, tudo o que você fez foi complicar seu ambiente sem qualquer recompensa.