需求是客户有2个用于SMTP的SAAS服务,Microsoft为其提供了公共IP。客户希望这些服务只对组织内的用户可用。
我尝试了L4负载平衡器,但它不具备上传SSL证书进行端到端加密的功能。我检查了应用程序网关,但似乎不允许SMTP端口25、465、587或2525。检查了流量管理器,但显示面向公众(需要探索更多)。也在探索任何混合解决方案。
要求:
-
我们目前有通过F5(本地)进行负载平衡的SMTP服务器,因此客户使用F5负载平衡器的Virtual-ip进行必要的SMTP操作。
-
SMTP服务器团队已经决定迁移到SAAS解决方案proofpoint SER,其中他们为服务提供了2个公共ip。
-
我们的F5团队已经声明,SAAS解决方案作为负载平衡器的后端是不可行的。
-
由于这是一个SAAS服务,我们的云团队被要求在公共ip上设计一个负载均衡器的解决方案。
-
但是根据SMTP服务器团队,他们不愿意将这2个公共ip分配给所有用户,相反,他们想要一个内部的单一私有ip,它指向公共ip。
-
简而言之,一个能够允许smtp协议,负载平衡后端公共ip和前端私有ip的解决方案。
我不确定我完全理解的要求,但Azure防火墙是你想要限制非http/S端口/协议访问的服务。
话虽如此,如果您为SMTP使用的SaaS服务是M365,则不建议使用这种方法。如果你想限制对Exchange的在线访问,那么你应该查看Azure AD条件访问策略。这将允许您通过兼容的设备、IP范围或公司管理的设备限制对SaaS服务的访问。它还可以限制对特定应用程序的访问(例如,只允许通过Outlook访问,不允许通过浏览器访问)。
https://learn.microsoft.com/en-us/exchange/clients-and-mobile-in-exchange-online/outlook-for-ios-and-android/secure-outlook-for-ios-and-android