目前,我運行 Forefront TMG 來反向代理 Exchange 2010 到外界。
我現在正在準備 Exchange 2016 環境,隨著 Forefront TMG 逐漸過時,我想要一個沒有它的解決方案。我現在有 pfSense 和 HAProxy 作為第一道防線和負載平衡。
我的問題是:是否應該在負載平衡器和 Exchange 之間新增反向代理?這有什麼好處呢?一切都從相同的虛擬機器管理程式和儲存基礎架構運行。
我知道 HAPrxoy 1.8 現在具有記憶體中小物件快取的能力,這可能會加速 Web 服務。但另一方面,只有OWA和ECP有一些靜態內容。
有任何想法嗎?
問候,
羅納德
答案1
我有 Azure AD 應用程式代理程式來前端我的本機 Exchange 環境。這樣做的原因都是為了安全。
透過外部代理層,您可以實作 Exchange 本身未實現的任何其他規則。 IP 限制、geoIP 限制、多因素身份驗證等 - 無論您的代理支援什麼。
您沒有向執行 Windows 的 Exchange 伺服器開放連接埠 80 和 443,並且可能存在未知漏洞。顯然,您依賴代理來減少漏洞 - 但即使它們被擁有,只要代理不是域成員並且處於某種形式的 DMZ 中,被破解的代理電腦可能造成的損害程度do 希望比擁有的 Exchange 機器小得多。
警告 - 如果您的代理商沒有為您提供更多的安全功能和/或減少您的攻擊面,那麼您所做的只是使您的環境變得複雜而沒有任何回報。