规划外部安全协作环境的安全性 (Office SharePoint Server)
本文内容:
保护后端服务器
保护客户端到服务器的通信的安全
保护管理中心网站的安全
保护共享服务提供程序管理网站的安全
安全设计清单
规划对服务器角色的安全强化
规划 Office SharePoint Server 功能的安全配置
外部安全环境的安全指导的目标是在 Extranet 中承载内容,以便与那些无法对企业网络进行常规访问的参与者就网站内容进行协作。外部合作伙伴可以利用此环境参与相应的工作流或与组织的员工就网站内容展开协作。
我们在外部安全协作环境方面可提供若干独特的建议。其中的一些建议可能并不适用于所有解决方案。
保护后端服务器
外部安全协作需要面向 Internet 的服务器。您可以通过保护后端服务器降低 Internet 通信的危险性:
保护数据库服务器 至少在前端 Web 服务器和承载数据库的服务器之间放置一个防火墙。有些环境会规定数据库服务器由内部网络承载,而不是直接位于 Extranet 环境中。
保护应用程序服务器 至少要通过要求 Internet 协议安全性 (IPsec) 保护服务器场计算机之间的通信安全来保护应用程序服务器。另外,也可以在用于保护数据库服务器的防火墙的后面放置应用程序服务器。或者,可以在前端 Web 服务器和应用程序服务器之间引入其他防火墙。
保护索引角色 索引组件通过前端 Web 服务器进行通信以便对网站中的内容进行爬网。若要保护此通信通道,请考虑配置供一台或多台索引服务器使用的专用前端 Web 服务器。这样可以隔离用户无法访问的前端 Web 服务器的爬网通信。此外,配置 Internet Information Services (IIS) 以将 SiteData.asmx(爬网程序 SOAP 服务)限制为仅允许索引服务器(或其他爬网程序)对其进行访问。提供专门用于内容爬网的前端 Web 服务器还可以通过减少主前端 Web 服务器的负载来提高性能,从而改善用户体验。
保护客户端到服务器的通信的安全
Extranet 环境中的安全协作依赖于客户端计算机与服务器场环境之间的安全通信。如果需要,请使用安全套接字层 (SSL) 来确保客户端计算机与服务器之间的通信安全。若要提高安全性,请考虑以下各方面情况:
要求客户端计算机拥有证书。SSL 可以在没有客户端证书的情况下实现。您可以要求所有客户端计算机都拥有证书,以便提高外部协作的安全性。
使用 IPsec。如果客户端计算机支持 IPsec,您可以配置 IPsec 规则,以达到比 SSL 更高的安全级别或安全粒度。
保护管理中心网站的安全
由于外部用户可以访问网络区域,因此保护管理中心网站的安全以阻止外部访问并保护内部访问的安全是非常重要的:
确保管理中心网站不是由前端 Web 服务器承载的
阻止对管理中心网站的外部访问。通过在前端 Web 服务器和承载管理中心网站的服务器之间放置防火墙,可以达到此目的。
使用 SSL 配置管理中心网站。这可确保从内部网络到管理中心网站的通信安全。
保护共享服务提供程序管理网站的安全
共享服务提供程序 (SSP) 管理网站(每个 SSP 一个网站)安装在前端 Web 服务器上。每个 SSP 管理网站均在专用的 Web 应用程序中创建。下面针对如何保护这些网站的安全提出了一些建议:
使用 SSL 配置所有 SSP 管理网站。这可确保内部网络与这些网站的通信安全。
为 Web 应用程序配置拒绝所有外部用户访问的策略。
安全设计清单
将此设计清单与概述:规划服务器场安全性 (Office SharePoint Server) 中的清单结合使用。
拓扑结构
[ ] |
通过在前端 Web 服务器与应用程序和数据库服务器之间至少放置一个防火墙来保护后端服务器。 |
[ ] |
规划专用的前端 Web 服务器以便对内容进行爬网。不要在最终用户的前端 Web 轮换中包含该前端 Web 服务器。 |
逻辑体系结构
[ ] |
阻止对管理中心网站的访问并为此网站配置 SSL。 |
[ ] |
通过使用 SSL 配置 SSP 管理网站,在专用 Web 应用程序中承载这些网站以及配置策略来拒绝对这些网站的外部访问,可以保护这些网站的安全。 |
为服务器角色规划安全强化
下表介绍了针对外部安全协作环境的其他强化建议。
组件 | 建议 |
---|---|
端口 |
阻止对管理中心网站的端口的外部访问。 |
IIS |
将 SiteData.asmx(爬网程序 SOAP 服务)限制为仅允许索引服务器(或其他爬网程序)对其进行访问。 |
规划 Office SharePoint Server 功能的安全配置
下表介绍了有关如何保护 Microsoft Office SharePoint Server 2007 功能的安全的其他建议。这些建议适用于外部安全协作环境。
功能或区域 | 建议 |
---|---|
身份验证 |
对经过身份验证的用户使用 SSL。这不适用于匿名浏览网站的用户。 |
授权 |
使用安全策略限定外部用户的权限(创建拒绝策略以限制外部用户可以执行的操作)。 |
我的网站 |
只向需要创建个人网站的参与者授予“创建个人网站”的权限。 |
InfoPath 表单服务器 |
禁用 InfoPath Forms Services Web 服务代理。 |
下载此书籍
本主题包含在以下可下载书籍内,以方便您阅读和打印:
有关可下载书籍的完整列表,请参阅 Office SharePoint Server 2007 的可下载书籍