Поделиться через

Планирование усиления безопасности для сред экстрасети

  • Статья

Содержание:

  • Средство планирования усиления безопасности экстрасети

  • Топология сети

  • Отношения доверия между доменами

  • Связь с ролями серверов фермы

  • Связь с ролями серверов инфраструктуры

  • Требования для поддержки преобразования документов

  • Связь между сетевыми доменами

  • Подключения к внешним серверам

В этой статье приводится подробное описание требований к повышению безопасности среды экстрасети, в которой ферма серверов Microsoft Office SharePoint Server 2007 размещается в демилитаризованной зоне, а содержимое доступно из Интернета или корпоративной сети.

Дополнительные сведения о поддерживаемых топологиях экстрасети см. в разделе Создание топологии фермы экстрасети (Office SharePoint Server).

Средство планирования усиления безопасности экстрасети

Следующее средство планирования доступно для использования со статьей Extranet hardening planning tool: back-to-back perimeter (на английском языке) (https://go.microsoft.com/fwlink/?linkid=85533&clcid=0x419) (на английском языке). На основе демилитаризованной зоны это средство выражает требования к портам для каждого компьютера, работающего под управлением Microsoft Internet Security and Acceleration Server (ISA-сервер), маршрутизатора или брандмауэра. Это средство является редактируемым файлом Microsoft Office Visio, который можно изменить применительно к среде. Например, можно выполнить следующие действия.

  • Добавить номера настраиваемых портов, где применимо.

  • Указать, какой порт будет использоваться, если имеется возможность выбора протоколов или портов.

  • Указать отдельные порты, которые будут использоваться для связи с базой данных в среде.

  • Добавить или удалить требования для портов с учетом следующих условий:

    • Настраивается ли интеграция электронной почты.

    • На каком уровне развертывается роль запросов.

    • Если настраивается отношение доверия доменов между демилитаризованным и доменом организации.

Если нужно просмотреть дополнительные средства планирования для других поддерживаемых топологий экстрасети, отправьте комментарий на эту статью для нашего сведения.

топологию сети;

Приведенные в этой статье указания по усилению безопасности можно применять ко множеству различных конфигураций экстрасети. На следующей схеме показан пример реализации сетевой топологии демилитаризованной зоны, иллюстрирующий роль сервера и клиента в среде экстрасети. Целью этой схемы является выражение каждой возможной роли и их отношений в масштабе среды. Поэтому роль запросов отображена дважды. В практической реализации роль запросов развертывается или на веб-серверы, или как сервер приложений, но не то и другое одновременно. И если роль запросов развертывается на веб-серверы, то на все веб-серверы в ферме. Чтобы продемонстрировать связь требований по усилению безопасности, на схеме показаны все варианты. Маршрутизаторы могут быть заменены брандмауэрами.

Диаграмма укрепления безопасности экстрасети

Отношения доверия между доменами

Требования к отношениям доверия между доменами зависят от настройки фермы серверов. В этом разделе обсуждаются две возможные конфигурации.

Ферма серверов размещается в демилитаризованной зоне

Для демилитаризованной зоны необходима собственная инфраструктура и домен службы каталогов Active Directory. Обычно между доменом демилитаризованной зоны и доменом корпоративной сети отношение доверия не настраивается. Однако для проверки подлинности пользователей интрасети и работающих удаленно сотрудников, которые используют свои учетные данные для домена (проверка подлинности Windows), необходимо настроить одностороннее отношение доверия, в рамках которого домен демилитаризованной зоны доверяет домену корпоративной сети. Для проверки подлинности с помощью форм и единого входа через Интернет отношение доверия между доменами не требуется.

Ферма серверов разделяется между демилитаризованной зоной и корпоративной сетью

Если ферма серверов разделяется между демилитаризованной зоной и корпоративной сетью и при этом серверы баз данных размещаются в корпоративной сети, то при использовании учетных записей Windows необходимо установить отношение доверия между доменами. В этой ситуации демилитаризованная зона должна доверять корпоративной сети. Если используется проверка подлинности SQL, то отношение доверия между доменами не требуется. В следующей таблице приведены сводные данные о различиях между этими двумя подходами.

Проверка подлинности Windows Проверка подлинности SQL

Описание

Учетные записи домена организации используются для всех учетных записей служб Office SharePoint Server 2007 и учетных записей для администрирования, включая учетные записи пула приложений.

Необходимо одностороннее отношение доверия, в рамках которого демилитаризованная зона доверяет корпоративной сети.

Учетные записи Office SharePoint Server 2007 настраиваются следующим образом.

  • для каждой создаваемой базы данных используется проверка подлинности SQL;

  • все другие административные учетные записи и учетные записи служб создаются в виде учетных записей домена демилитаризованной зоны;

  • Веб-серверы и поисковые серверы присоединяются к демилитаризованной зоне.

Отношение доверия не требуется, но может быть настроено для поддержки проверки подлинности клиентов на внутреннем контроллере домена.

Примечание

Если серверы приложений располагаются в домене организации, необходимо установить одностороннее отношение доверия, в рамках которого демилитаризованная зона доверяет корпоративной сети.

Настройка

Ниже перечислены условия, которые должны быть выполнены при настройке.

  • В домене организации создаются учетные записи службы и учетные записи для администрирования Office SharePoint Server 2007.

  • Веб-серверы и поисковые серверы присоединяются к демилитаризованной зоне.

  • Устанавливается одностороннее отношение доверия, в рамках которого демилитаризованная зона доверяет домену корпоративной сети.

Ниже перечислены условия, которые должны быть выполнены при настройке.

  • Все учетные записи баз данных должны создаваться как учетные записи входа SQL Server в программе SQL Server 2000 Enterprise Manager или SQL Server 2005 Management Studio. Эти учетные записи должны быть созданы *до* создания каких-либо баз данных Office SharePoint Server 2007, включая базу данных конфигурации и базу данных AdminContent.

  • Для создания базы данных конфигурации и базы данных SharePoint_AdminContent необходимо использовать средство командной строки Psconfig. Эти базы данных не могут быть созданы с помощью мастера настройки продуктов и технологий SharePoint. Кроме использования параметров -user и -password для определения учетной записи фермы серверов, необходимо использовать параметры -dbuser и -dbpassword для определения учетных записей проверки подлинности SQL.

  • Выбрав параметр Проверка подлинности SQL, в центре администрирования можно создать дополнительные базы данных контента. Однако сначала в приложении SQL Server 2000 Enterprise Manager или SQL Server 2005 Management Studio нужно создать учетные записи для входа в SQL.

  • Все соединения с серверами баз данных защищаются с помощью протокола SSL.

  • Все порты, используемые для связи с приложением SQL Server, остаются открытыми между демилитаризованной зоной и корпоративной сетью.

Дополнительная информация

Одностороннее отношение доверия позволяет подключенным к домену экстрасети веб-серверам и серверам приложений разрешать учетные записи, находящиеся в домене корпоративной сети.

  • Учетные записи входа в SQL шифруются в реестре веб-серверов и серверов приложений

  • Учетная запись фермы серверов не используется для доступа к базе данных конфигурации и базе данных SharePoint_AdminContent. Вместо этого используются соответствующие учетные записи входа в SQL

Сведения, приведенные в представленной выше таблице, предполагают выполнение перечисленных ниже условий

  • Как веб-серверы, так и серверы приложений размещаются в демилитаризованной зоне

  • Все учетные записи создаются в соответствии с принципом предоставления минимальных прав, включая следующие рекомендации:

    • в качестве всех административных учетных записей и учетных записей служб создаются отдельные учетные записи;

    • ни одна из этих учетных записей не входит в группу "Администраторы" какого-либо компьютера, включая сервер, на котором установлено приложение SQL Server.

Если используется проверка подлинности SQL, необходимо создать входы SQL со следующими разрешениями.

  • Вход SQL для учетной записи, которая используется для запуска средства командной строки Psconfig   Эта учетная запись должна быть членом следующих ролей SQL: dbcreator и securityadmin (создатель базы данных и администратор безопасности). Эта учетная запись должна быть членом группы "Администраторы" на каждом сервере, на котором запускается программа установки (не на сервере базы данных).

  • Вход SQL для учетной записи фермы серверов   Этот вход используется для создания базы данных конфигурации и базы данных SharePoint_AdminContent. Этот вход должен включать роль создателя базы данных (dbcreator). Этот вход не должен быть членом роли администратора безопасности (securityadmin). Этот вход должен быть создан с использованием проверки подлинности SQL. Настройте учетную запись фермы серверов для использования проверки подлинности SQL с паролем, указанным при создании входа SQL.

  • Вход SQL для всех других баз данных   Этот вход должен быть создан с использованием проверки подлинности SQL. Этот вход должен быть членом следующих ролей SQL: dbcreator и securityadmin (создатель базы данных и администратор безопасности).

Дополнительные сведения об учетных записях Office SharePoint Server 2007 см. в разделе Планирование учетных записей администратора и служб (Office SharePoint Server).

Дополнительные сведения о создании баз данных с помощью средства командной строки Psconfig см. в разделе Справочник по использованию командной строки для мастера настройки продуктов и технологий SharePoint (Office SharePoint Server).

Связь с ролями серверов фермы

При настройке среды экстрасети важно понимать, как роли различных серверов взаимосвязаны в пределах фермы серверов.

Связи между ролями серверов

На следующем рисунке показаны каналы связи в ферме серверов. В приведенной ниже таблице указаны порты и протоколы, представленные на рисунке. Черные стрелки показывают, какая серверная роль инициирует связь. Например, роль службы вычислений Excel инициирует связь с сервером базы данных. Сервер базы данных не инициирует связь с ролью службы вычислений Excel. Красная пунктирная стрелка указывает, что любой сервер инициирует связь. Это важно знать при настройке входящих и исходящих соединений в брандмауэре.

Обмен данными между серверами разных ферм

Номер пункта Порты и протоколы

1

Доступ клиентов (включая службу управления правами на доступ к данным и поисковые запросы) — один или несколько из следующих вариантов:

  • TCP-порт 80

  • TCP-порт 443 (SSL)

  • Настраиваемые порты

2

Служба общего доступа к файлам и принтерам — *один* из следующих вариантов:

  • Протокол Direct-hosted SMB (TCP/UDP-порт 445) — рекомендуется

  • Протокол NetBIOS через TCP/IP (TCP/UDP-порты 137, 138, 139) — если не используются, следует отключить

3

Веб-службы Office Server — *и тот, и другой*:

  • TCP-порт 56737

  • TCP 56738 (SSL)

4

Связь с базой данных:

  • TCP/SSL-порт 1433 (по умолчанию) для экземпляра по умолчанию (настраиваемый)

  • Случайный TCP/SSL-порт для именованных экземпляров (настраиваемый)

5

Обход при поиске — в зависимости от настройки проверки подлинности сайты SharePoint могут расширяться с помощью дополнительной зоны или сайта служб IIS, чтобы обеспечить доступ компонента индекса к содержимому. Эта конфигурация может привести к открытию настраиваемых портов.

  • TCP 80

  • TCP 443 (SSL)

  • Настраиваемые порты

6

Служба единого входа — сервер с любой ролью, на котором запущена служба единого входа, должен быть доступен для связи с сервером ключа шифрования по протоколу RPC. Сюда входят все веб-серверы, роль службы вычислений Excel и роль индексирования. Кроме того, если на сервере запросов установлен триммер безопасности, который требует доступа к данным единого входа, на сервере с этой ролью также должна быть установлена служба единого входа.

Для RPC требуется TCP-порт 135 *любой* из следующих портов:

  • Статический RPC — с ограничением верхних портов (рекомендуется)

  • Динамический RPC — произвольные верхние порты в диапазоне 1024–65535/TCP

Дополнительные сведения о сервере ключа шифрования и о том, для каких ролей сервера требуется служба единого входа, см. в разделе Планирование единого входа.

Веб-серверы автоматически отправляют запросы с балансировкой нагрузки на доступные серверы запросов. Поэтому если роль запросов развернута на компьютеры веб-серверов, эти серверы связываются друг с другом с помощью службы общего доступа к файлам и принтерам и веб-службы Office Server. На следующем рисунке показаны каналы связи между этими серверами.

Веб-сервер — сервер запросов

Связь между административными сайтами и ролями серверов

Административные сайты включают следующие сайты.

  • Сайт центра администрирования   Этот сайт может быть установлен на сервере приложений или веб-сервере.

  • Сайты администрирования общих служб   Эти сайты отражаются на веб-серверах.

В этом разделе подробно описываются порты и протоколы, требуемые для связи между рабочей станцией администратора и ролями серверов в ферме. Сайт центра администрирования может быть установлен на любом веб-сервере или сервере приложений. Изменения параметров, выполняемые через сайт центра администрирования, передаются в базу данных конфигурации. Другие серверные роли фермы принимают изменения конфигурации, которые регистрируются в базе данных конфигурации, в ходе своих циклов опроса базы данных. Поэтому сайт центра администрирования не устанавливает какие-либо новые требования к связи для других серверных ролей фермы серверов.

На следующем рисунке показаны каналы связи рабочей станции администратора с административными сайтами и базой данных конфигурации.

Топология администрирования веб-сайтов администраторов

В следующей таблице описываются порты и протоколы, показанные на предыдущем рисунке.

Номер пункта Порты и протоколы

A

Сайт администрирования общих служб — один или несколько из следующих портов:

  • TCP 80

  • TCP 443 (SSL)

  • Настраиваемые порты

B

Сайт центра администрирования — один или несколько из следующих портов:

  • TCP 80

  • TCP 443 (SSL)

  • Настраиваемые порты

C

Связь с базой данных:

  • TCP/SSL-порт 1433 (по умолчанию) для экземпляра по умолчанию (настраиваемый)

  • Случайный TCP/SSL-порт для именованных экземпляров (настраиваемый)

Связь с ролями серверов инфраструктуры

При настройке среды экстрасети важно понимать, как различные роли серверов осуществляют связь в пределах серверных компьютеров инфраструктуры.

Контроллер домена службы Active Directory

В следующей таблице перечислены требования к портам для входящих подключений каждой роли сервера к контроллеру домена службы Active Directory.

Поз. Веб-сервер СерверСервер СерверСервер Служба вычислений Excel Сервер баз данных

TCP/UDP-порт 445 (службы каталогов)

X

X

X

X

X

TCP/UDP-порт 88 (проверка подлинности Kerberos)

X

X

X

X

X

LDAP/LDAPS-порты 389/636 по умолчанию, настраиваемые

X

X

X

LDAP/LDAPS-порты требуются для серверных ролей с учетом следующих условий.

  • Веб-серверы   Используют LDAP/LDAPS-порты, если настроена проверка подлинности LDAP.

  • Сервер индексирования   Роль требует LDAP/LDAPS-порты для импорта профилей из контроллеров домена, настроенных как источники импорта профилей в любом их местоположении.

  • Служба вычислений Excel   Использует LDAP/LDAPS-порты, только если для подключений к источнику данных настроена проверка подлинности LDAP.

DNS-сервер

В следующей таблице перечислены требования к портам для входящих подключений каждой роли сервера к DNS-серверу. Во многих средах экстрасетей на одном серверном компьютере размещаются контроллер домена службы Active Directory и DNS-сервер.

Поз. Веб-сервер Сервер запросов Сервер индексирования Служба вычислений Excel Сервер баз данных

DNS, TCP/UDP-порт 53

X

X

X

X

X

Служба SMTP

Для интеграции электронной почты необходимо использовать службу SMTP, которая в свою очередь использует TCP-порт 25 по крайней мере на одном интерфейсном веб-сервере фермы. Служба SMTP необходима для получения входящей электронной почты (входящее соединение). Для исходящей электронной почты можно использовать службу SMTP или направлять исходящую электронную почту через выделенный сервер электронной почты организации, например через компьютер, на котором запущен сервер Microsoft Exchange Server.

Поз. Веб-сервер Сервер запросов Сервер индексирования Служба вычислений Excel Сервер баз данных

TCP-порт 25

X

Требования для поддержки преобразования документов

Если на сервере используются конвертеры документов, на сервере приложений должны быть установлены и запущены следующие службы:

  • Служба запуска для преобразования документов

  • Служба балансировки нагрузки для преобразования документов

Как правило, эти службы устанавливаются на одном или на разных серверах приложений, в зависимости от топологии, которая лучше всего отвечает требованиям сервера. При необходимости, эти службы также могут быть установлены на одном или нескольких веб-серверах. Если они установлены на разных серверах, последние должны поддерживать связь между этими службами.

В следующей таблице перечислены порты и протоколы, требуемые для этих служб. Эти требования не относятся к серверным ролям в ферме, в которой не установлены эти службы.

Служба Требование

Служба запуска для преобразования документов

TCP-порт 8082, настраиваемый — TCP/SSL

Служба балансировки нагрузки для преобразования документов

TCP-порт 8093, настраиваемый — TCP/SSL

Дополнительные сведения о настройке этих служб в ферме серверов см. в разделе Разработка топологии преобразования документов.

Связь между сетевыми доменами

Связь Active Directory

Для осуществления связи службы Active Directory между доменами, необходимой для поддержки проверки подлинности контроллером домена внутри корпоративной сети, необходимо как минимум одностороннее отношение доверия, в рамках которого демилитаризованная зона доверяет корпоративной сети.

В показанном на первом рисунке этой статьи примере в качестве исходящих соединений с сервером ISA Server B для поддержки одностороннего отношения доверия используются следующие порты:

  • TCP/UDP-порт 135 (RPC)

  • TCP/UDP-порт 389 по умолчанию, настраиваемый (LDAP)

  • TCP/UDP-порт 636 по умолчанию, настраиваемый (LDAP SSL)

  • TCP-порт 3268 (LDAP GC)

  • TCP-порт 3269 (LDAP GC SSL)

  • TCP/UDP-порт 53 (DNS)

  • TCP/UDP-порт 88 (проверка подлинности Kerberos)

  • TCP/UDP-порт 445 (службы каталогов)

  • TCP/UDP-порт 749 (Kerberos-Adm)

  • TCP/UDP-порт 750 (Kerberos-IV)

При настройке сервера ISA Server B (или альтернативного устройства, расположенного между демилитаризованной зоной и корпоративной сетью) отношение сетей должно быть определено посредством маршрутизации. Не определяйте отношение сетей через преобразование сетевых адресов (NAT).

Дополнительную информацию о требованиях к усилению безопасности, связанных с отношениями доверия, см в следующих документах:

Усиление безопасности для публикации контента

Для публикации содержимого требуется односторонняя связь между сайтом центра администрирования на ферме серверов источника и сайтом центра администрирования на целевой ферме серверов. Требования к усилению безопасности следующие.

  • Номер порта, который используется для сайта центра администрирования на целевой ферме серверов.

  • TCP 80 или 443 — исходящий порт фермы источника (для протокола SOAP и HTTP POST).

При настройке развертывания контента в ферме источника указывается учетная запись для использования проверки подлинности на целевой ферме. Для публикации содержимого с одного домена на другой отношение доверия между доменами не требуется. Однако для развертывания контента используются две учетные записи — одна из которых требует отношения доверия доменов:

  • Если учетная запись пула приложений фермы источника имеет разрешения доступа к центру администрирования на целевой ферме, выберите параметр Использовать учетную запись пула приложений. Для этого требуется одностороннее отношение доверия, в котором домен целевой фермы доверяет домену фермы источника.

  • Можно вручную указать учетную запись вместо использования учетной записи пула приложений источника. В этом случае, этой учетной записи не должно быть в сетевом домене фермы источника. Обычно, учетная запись целевой фермы уникальна. Учетная запись может пройти проверку подлинности с помощью проверки подлинности Windows или базовой проверки подлинности.

Подключения к внешним серверам

Некоторые компоненты Office SharePoint Server 2007 можно настроить для доступа к данным, которые находятся на компьютерах вне фермы серверов. В этом случае, требуется установить соединение между соответствующими компьютерами. В большинстве случаев, используемые порты, протоколы и службы зависят от внешних ресурсов. Например:

  • Подключения к общим ресурсам используют службу общего доступа к файлам и принтерам.

  • Подключения к внешним базам данных SQL Server используют порты по умолчанию или настраиваемые портов для связи с сервером SQL.

  • Подключения к Oracle обычно используют OLE DB.

  • Подключения к веб-службам используют и HTTP, и HTTPS.

В следующей таблице перечислены компоненты, которые можно настроить для доступа к данным, которые находятся на компьютерах вне фермы серверов.

Возможность Описание

Обход контента

Можно настроить правила для обхода данных, которые находятся на внешних ресурсах, включая веб-сайты, совместные файлы, общие папки Exchange и приложения бизнес-данных. При обходе внешних источников данных роль индексирования подключается напрямую к этим ресурсам.

Дополнительные сведения см. в разделе Планирование обхода содержимого (Office SharePoint Server).

Подключения к каталогу бизнес-данных

Веб-серверы и серверы приложений напрямую связываются с компьютерами, настроенными для подключений к каталогу бизнес-данных.

Дополнительные сведения см. в разделе Планирование подключений бизнес-данных с использованием каталога бизнес-данных.

Получение книг Microsoft Office Excel

Если книги, открытые в службах Excel Services, подключены к внешним источникам данных (например, службы аналитики Analysis Services и SQL Server), для подключения этих внешних источников данных должны быть открыты порты TCP/IP. Дополнительные сведения см. в разделе Планирование подключений внешних данных для служб Excel Services.

Если пути с универсальными именами (UNC) настроены как надежные местоположения в службах Excel, роль приложений службы вычислений Excel для получения книг по UNC-пути использует протоколы и порты, занятые службой общего доступа к файлам и принтерам.

На книги, сохраненные в базе данных контента, отправленные или загруженные с сайтов пользователями, эти подключения не влияют.

Загрузите эту книгу

Этот раздел включен в следующую загружаемую книгу для удобства чтения и печати:

Полный список доступных книг приведен в разделе Загружаемые материалы для Office SharePoint Server 2007