Compartilhar via


Demonstra Passo a passo: Criar uma zona de segurança Part 1

Esta explicação passo a passo se baseia no Demonstra Passo a passo: Criando diagramas de Datacenter lógico.

Nesta explicação passo a passo, você aprenderá como usar restrições definidas pelo usuário e restrições de ponto de extremidade de zona para criar requisitos muito específicos para servidores lógicos sendo hospedados dentro dessa zona.Você também aprenderá como criar um protótipo reutilizável da zona que você pode armazenar na caixa de ferramentas.A primeira etapa é restringir o tipo de comunicação permitida para a zona.Para esta explicação passo a passo, você trabalhará com o PerimeterNetwork zona de segurança que você criou no Demonstra Passo a passo: Criando diagramas de Datacenter lógico.

Para permitir somente tráfego de entrada de zona através de https na porta 443

  1. clicar com o botão direito do mouse o Internet entrada ponto de extremidade de zona e clique em As configurações e restrições para exibir Editor de Configurações e Restrições.

  2. Em Restrições de comunicação de zona, desmarcar o DatabaseServerEndpoint and GenericServerEndpoint caixas de seleção.

    Isso impede que servidores genéricos ou banco de dados que estão sendo conectados para a entrada ponto de extremidade de zona.

  3. selecionar o Definido pelo usuário caixa de seleção em WebSiteEndpoint.

  4. expandir Definido pelo usuário e selecionar o WebSite caixa de seleção em Definido pelo usuário.

    Isso permite que você gravar restrições em sites da Web que se comunicam com (conectar-se ao) o ponto de extremidade de entrada de zona.

  5. clicar no Site da Web título no painel esquerdo do editor.No painel direito, expandir o Autenticação árvore e selecionar o SecureBindings a caixa de seleção.

  6. Em Operador, selecionar Contém um.

  7. clicar no Valor de campo e, em seguida, clicar nas reticências ().

    The ComplexSetting coleção Editor aparece.

  8. Clique em Adicionar.

  9. Em Porta, digite 443.

  10. Deixe o Endereço IP campo vazio.

  11. Clique em OK.

Agora você tem restrita todo o tráfego vindo com o ponto de extremidade de entrada de zona sejam feitas por meio de porta 443, que trata o tráfego HTTPS.A próxima etapa é restringir os tipos de servidores lógicos a zona pode conter.

Para restringir o que a zona pode conter

  1. selecionar o zona forma e exibir Editor de Configurações e Restrições.

  2. Em Restrições de contenção de zona, desmarcar o GenericServer, WindowsClient, and Zona caixas de seleção.

Fazendo isso, você está restringindo a zona e impedindo que ele contendo servidores genéricos (servidores que podem hospedar qualquer tipo de aplicativo), servidores do Windows (servidores que podem hospedar clientes do Windows) ou outras regiões.Se você tentar soltar qualquer um desses itens na zona a partir da caixa de ferramentas ou em outro lugar no diagrama de datacenter lógico, não será possível.

A próxima etapa é adicionar um servidor de banco de dados para a zona.

Para adicionar um servidor de banco de dados para a zona

  1. arrastar um DatabaseServer para o diagrama a partir da caixa de ferramentas e coloque-a dentro de PerimeterNetwork região.

  2. Nome do servidor SessionStore.

    Este servidor será usado para armazenar informações de estado de sessão SQL do HardenedIIS Servidor Web.

  3. selecionar o ponto de extremidade de provedor em SessionStore, pressione ALT e conectá-lo a HardenedIIS.

A próxima etapa é escrever uma restrição de zona que impede que os servidores Web hospedando serviços da Web.

Para restringir os servidores Web de hospedagem de serviços da Web

  1. clicar na zona.

  2. Em Restrições de contenção de zona, expandir IISWebServer, selecionar o Definido pelo usuário caixa de seleção, selecionar o InternetInformationServices caixa de seleção e selecionar finalmente o WebSites a caixa de seleção.

  3. clicar no WebSites nó no painel da esquerda e expandir o Conteúdo nó na painel direito de Editor de Configurações e Restrições.

  4. selecionar ScriptMaps.

    Observação:

    Se você tiver WebSite selecionado em vez de WebSites no painel esquerdo do editor, a ScriptMaps seção não serão exibidas em Conteúdo.

  5. Em Operador, escolher Contém nenhum na caixa de listagem.

  6. clicar no Valor de campo e, em seguida, clicar nas reticências ().

    The ComplexSetting coleção Editor aparece.

  7. Clique em Adicionar.

  8. Em ExtensãoDeArquivo, .asmx de tipo.

  9. Em IncludedVerbs, tipo GET, HEAD, POST, depurar.

    Observação:

    Digite esta seqüência de caracteres exatamente sistema autônomo ele aparece.Se você adicionar espaços ou alterar a ordem dos verbos, essa restrição não funcionará.

  10. conjunto Script equal to True.

  11. Em ScriptProcessor, insira o caminho para o aspnet_isapi.dll.(% WINDIR%\Microsoft.NET\estrutura\v2.0.40420\aspnet_isapi.dll)

  12. Clique em OK.

Essa restrição impede que os serviços da Web sendo hospedado nos servidores Web dentro da rede de perímetro.Isso é possível impedir que qualquer servidor Web que hospeda sites da Web que permitem que certos mapas de script para executar.Porque esta restrição tiver sido criada na zona propriamente dito, qualquer servidor Web colocado dentro da zona será avaliado em relação a essa restrição assim sistema autônomo sistema autônomo aplicativos hospedados no servidor Web.

A etapa final é criar uma versão reutilizável desta zona que está acessível a partir da caixa de ferramentas e que pode ser compartilhado com outras pessoas na sua organização.

Para criar um protótipo da zona PerimeterNetwork reutilizável

  1. clicar na zona.

  2. From a Diagrama menu, escolher Adicionar à caixa de ferramentas.

    The Adicionar à caixa de ferramentas caixa de diálogo é exibida.

  3. Em Nome, digite PerimeterNetwork e clicar OK.

    The Salvar arquivo caixa de diálogo é exibida.O arquivo é salvo sistema autônomo um arquivo .lddprototype, que significa que é um protótipo que podem ser usados no Designer de Datacenter Lógico.

  4. Clique em Save.

  5. em aberto Toolbox e arrastar o PerimeterNetwork ao diagrama.

Criando esse protótipo, você criou uma versão personalizada do PerimeterNetwork região que pode ser reutilizado em qualquer diagrama de datacenter lógico, criar ou edição.Esse protótipo será exibido sempre que você cria uma nova solução DFS.É uma função de designers e não a solução que estava aberta ao criá-la.

Outros usuários do Designer de Sistema Distribuído podem compartilhar esse protótipo, colocando uma cópia do arquivo .lddprototype na pasta padrão protótipo, geralmente localizada em %ProgramFiles%\Microsoft Visual Studio <versionnumber>\Common7\Tools\DesignerPrototypes\Prototypes.Para obter mais informações sobre a criação de protótipos reutilizáveis no Designer de Datacenter Lógico, consulte Como: Criar protótipos de Personalizar de zonas configuradas e de servidores lógicos. Para obter mais informações sobre a redistribuição desses protótipos para outros usuários, consulte Como: Importar ou instalar o novo protótipos Personalizar.

Próximas etapas

A segunda parte desta explicação passo a passo, você aprenderá como fazer o seguinte:

  • conjunto diretiva para aplicativos hospedados em HardenedIIS.

  • Importar configurações de um servidor IIS existente, configurado para HardenedIIS.

  • Avaliar a implantação de um serviço Web para HardenedIIS.

Consulte também

Tarefas

Demonstra Passo a passo: Criar uma zona de segurança Part 2

Outros recursos

Criando e configurando um passo a passo de Datacenter lógico