規劃伺服器陣列中的安全通訊 (Office SharePoint Server)
本文內容:
規劃伺服器對伺服器通訊
規劃用戶端對伺服器通訊
規劃使用 SSL
使用本文可規劃伺服器陣列安全性。本文提供保護伺服器對伺服器通訊及用戶端對伺服器通訊的指導。
本文中的工作適用於下列安全性環境:
架設內部 IT
外部安全共同作業
外部匿名存取
規劃伺服器對伺服器通訊
如果伺服器不是位在將網路竊聽威脅視為不重要的實際安全資料中心內,則需要使用加密通訊通道來保護伺服器之間傳送的資料。
在 Microsoft Office SharePoint Server 2007 中,伺服器陣列內的伺服器對伺服器通訊量很大。保護此通訊有助於確保機密資料不致遭到危害,也有助於保護伺服器免受惡意攻擊或無意的威脅。
下圖顯示伺服器陣列內伺服器之間的數種常見通訊交易。
伺服器陣列內伺服器之間的常見通訊交易包括下列項目:
設定變更 前端網頁伺服器會與設定資料庫通訊,以傳送伺服器陣列設定的設定變更。
變更要求 新增、刪除、修改或檢視網站內容的使用者要求都會直接傳送至內容資料庫。
搜尋要求 前端網頁伺服器會先與查詢伺服器通訊,以產生搜尋查詢的結果。接著,前端網頁伺服器會與內容資料庫通訊,以滿足搜尋結果內特定文件的使用者要求。
編製索引 編製索引元件會透過前端網頁伺服器進行通訊,以編目內容資料庫中的內容並建置索引。
注意
在 Office SharePoint Server 2007 環境中,搜尋是透過兩種角色提供:查詢和索引。這些角色可以安裝在不同的伺服器電腦上。
您可以同時使用 Internet Protocol Security (IPsec) 和安全通訊端階層 (SSL),透過加密流量來協助保護伺服器之間的通訊。這兩種方法的效果都很好。您可以根據所要保護的特定通訊通道,以及最適合組織的優點和取捨,來選擇使用的方法。
IPsec
IPsec 一般建議用於保護兩部伺服器之間的通訊通道,以及限制可以彼此通訊的電腦。例如,您可以建立僅允許來自信任用戶端電腦 (例如應用程式伺服器或網頁伺服器) 之要求的原則,協助保護資料庫伺服器。您也可以限制特定 IP 通訊協定和 TCP/UDP 連接埠的通訊。
伺服器陣列的網路需求和建議讓 IPsec 成為良好的選擇,因為:
所有伺服器都在一個實體 LAN 上 (以改進 IPsec 效能)。
伺服器都會指定靜態 IP 位址。
IPsec 也可以在信任的 Windows Server 2003 或 Windows 2000 Server 網域之間使用。例如,您可以使用 IPsec,針對連線至在內部網路上執行 Microsoft SQL Server 之電腦的周邊網路,保護其網頁伺服器或應用程式伺服器的通訊。如需詳細資訊,請參閱 Windows Server 2003 部署指南 (英文) (https://go.microsoft.com/fwlink/?linkid=76095&clcid=0x404) 中的選取 IPSec 驗證方法 (英文) (https://go.microsoft.com/fwlink/?linkid=76093&clcid=0x404) 。
如需 IPsec 之建議環境的詳細資訊,請參閱 Windows Server 2003 部署指南 (英文) (https://go.microsoft.com/fwlink/?linkid=76095&clcid=0x404) 中的決定 IPSec 的需求 (英文) (https://go.microsoft.com/fwlink/?linkid=76094&clcid=0x404) 。
SSL
使用 SSL 的一般建議是當您需要特定應用程式 (而非電腦上執行的所有應用程式和服務) 的精細通道保護時,請使用此加密方法。SSL 必須由個別應用程式予以實作。因此,您不可以使用 SSL 加密兩部主機之間的所有通訊。
此外,SSL 僅支援透過公開金鑰憑證進行驗證,因此其彈性低於 IPsec。但是,SSL 確實提供數種明顯優點。最明顯的優點是,多種伺服器和用戶端電腦都支援 SSL,而且標準的成熟度實際上也消除了互通性問題。
考慮使用 SSL 的情況
有多種情況讓 SSL 成為良好的選擇,包括下列項目:
管理網站 管理中心網站和共用服務管理網站都可以使用 SSL 進行保護。
內容部署 內容部署程序會將檔案從製作或執行伺服器陣列之伺服器上的某個網站目錄,複製到發佈伺服器陣列之一或多部伺服器上的相符網站目錄。在此情況下,如果伺服器陣列位在不同的網路區域中,或者要部署大量內容或要將這些內容部署至大量伺服器,則 IPsec 可能不太實際。SSL 可以用來針對這些特定通訊交易提供安全通訊。
伺服器陣列之間的共用服務提供者 (SSP) 如果子項伺服器陣列使用父項伺服器陣列的共用服務,則會在伺服器陣列之間共用機密資料。
外部資料來源的通訊 數項 Office SharePoint Server 2007 功能依賴連線至伺服器陣列外部的伺服器。在這些情況下,會在特定應用程式之間共用資料。當您使用 IPsec 保護這些伺服器之間的所有通訊時,網路設定、外部伺服器的位置及外部伺服器的平台可能會讓 SSL 成為較好的選擇。
規劃用戶端對伺服器通訊
保護所有用戶端對伺服器通訊可能不太實際。但是,有數種情況需要額外設定才能保護用戶端電腦與伺服器陣列內之伺服器間的通訊:
保護與合作夥伴的共同作業 合作夥伴存取及參與位在外部網路環境中的應用程式。
遠端員工存取 員工以遠端方式存取內部資料。
客戶存取或提供機密資料 客戶登入,並提供或存取機密資料。例如,客戶可能需要登入網際網路新聞網站或提供個人資訊,才能完成商務交易。
基本或表單驗證 如果使用上述任一種驗證方法,則會以純文字形式傳送認證。請至少保護登入頁面的用戶端對伺服器通訊。
必須保護機密資訊時,一般建議使用 SSL 保護使用者與伺服器之間的通訊。SSL 可以設定成需要伺服器驗證或伺服器和用戶端驗證。
規劃使用 SSL
SSL 可能會降低網路的效能。您可以使用數種常用的準則來最佳化使用 SSL 的頁面。首先,請只將 SSL 用於需要的頁面。這包括含有或擷取機密資料 (例如密碼或其他個人資料) 的頁面。請在符合下列條件時才使用 SSL:
您想要加密頁面資料。
您想要確保接收所傳送資料的伺服器就是預期的伺服器。
如果是必須使用 SSL 的頁面,請遵循下列準則:
讓頁面大小盡可能的小。
避免使用檔案很大的圖形。如果使用圖形,請使用檔案大小和解析度均較小的圖形。
下載本書
本主題隨附於下列可下載的叢書中,以便於閱讀與列印:
請參閱 Office SharePoint Server 2007 可下載的內容 (英文) 上提供的完整叢書清單。