是否反转代理交易所

Question

目前，我运行最前沿的TMG反向代理交易所2010到外部世界。

我现在正在准备一个Exchange 2016环境，随着前沿TMG逐渐过时，我想要一个没有它的解决方案。我现在有pfSense和HAProxy作为第一道防线和负载平衡。

我的问题是:您应该在负载均衡器和Exchange之间添加反向代理吗？这在哪里是有益的？所有这些都是从同一个管理程序和下面的存储库运行的。

我知道HAPrxoy 1.8现在具有内存中小对象缓存的能力，这可能会加速web服务。但另一方面，只有OWA和ECP具有一定的静态内容。

有什么想法吗？

大家好，

罗纳德

Answer 1

我有Azure的App前端我的预交换环境.这样做的理由都是出于安全考虑。

使用外部代理层，您可以实现Exchange本机没有实现的任何其他规则。IP限制、geoIP限制、多因素身份验证等--无论您的代理支持什么。

您的Exchange服务器没有打开端口80和443，这些服务器运行Windows，并且可能存在未知的漏洞。很明显，您依赖于您的代理来减少漏洞--但是即使它们被拥有，只要代理不是域成员，并且处于某种形式的DMZ中，一台已安装的代理机器所能造成的损害可能要比拥有的Exchange机器小得多。

警告--如果您的代理没有为您提供更多的安全特性和/或减少您的攻击表面，那么您所做的就是在没有任何回报的情况下使您的环境变得复杂。