規劃外部安全共同作業環境的安全性 (Office SharePoint Server)

本文內容：

外部安全環境之安全性指導的目標，是在外部網路上架設內容，讓無法存取公司網路的參與者，得以在內容上共同作業。此環境可以讓外部夥伴參與工作流程，或與組織內的員工一起在內容上共同作業。

針對外部安全共同作業環境，我們提出了數項特別建議，其中有部分可能不適用於所有解決方案。

保護後端伺服器

外部安全共同作業需要有網際網路對向伺服器。您可以保護後端伺服器，以限制對網際網路流量的暴露程度：

保護資料庫伺服器 至少在前端網頁伺服器與資料庫所在的伺服器之間設置防火牆。有些環境會規定資料庫伺服器必須位在內部網路中，而不可以直接設在外部網路環境。
保護應用程式伺服器 請至少要求 Internet Protocol Security (IPsec) 保護伺服器陣列電腦之間的通訊，以保護應用程式伺服器。您還可以將應用程式伺服器置於用來保護資料庫伺服器的防火牆後。或者，也可以在前端網頁伺服器與應用程式伺服器之間引進額外的防火牆。
保護索引角色 索引元件會經由前端網頁伺服器編目網站的內容。若要保護此通訊頻道，可設定專用前端網頁伺服器，供一或多部索引伺服器使用。這會將編目通訊隔離在前端網頁伺服器，讓使用者無法加以存取。除此之外，設定網際網路資訊服務 (IIS)，將 SiteData.asmx (編目程式 SOAP 服務) 限制成只有索引伺服器 (或其他編目程式) 可以讀取。提供編目內容專用的前端網頁伺服器也有助於提升效能，因為主要前端伺服器的負載降低，從而改善了使用者經驗。

保護外部網路環境中的共同作業，有賴於客戶端電腦與伺服器陣列環境之間的安全通訊。若條件許可，可使用安全通訊端階層 (SSL) 保護用戶端電腦與伺服器之間的通訊安全。若要增加安全性，可考慮下列作法：

因為外部使用者可存取網路區域，因此保護管理中心網站，以封鎖外部存取並保護內部存取相形重要：

共用服務提供者 (SSP) 管理網站 (每個 SSP 一個網站) 是安裝在前端網頁伺服器上。而每個 SSP 管理網站都是建立在專用的 Web 應用程式中。保護這些網站的建議包括：

拓撲

[ ]	在前端網頁伺服器與應用程式及資料庫之間設置至少一道防火牆，以保護後端伺服器。
[ ]	規劃專用前端網頁伺服器編目內容。請勿將此前端網頁伺服器併入使用者前端 Web 的輪換中。

邏輯架構

[ ]	封鎖對管理中心網站的存取，並為此網站設定 SSL。
[ ]	設定 SSP 管理網站的 SSL、以專用的 Web 應用程式架設這些網站，以及設定原則拒絕外部存取等，皆可用於保護 SSP 管理網站。

下表說明外部安全共同作業環境的其他強化建議。

元件	建議
連接埠	封鎖對管理中心網站之連接埠的外部存取。
IIS	限制 SiteData.asmx (編目程式 SOAP 服務) 只可讓索引伺服器 (或其他編目程式) 進行存取。

下表說明保護 Microsoft Office SharePoint Server 2007 功能的其他建議。這些建議適用於外部安全共同作業環境。

功能或區域	建議
驗證	針對已驗證使用者使用 SSL。這不適用於瀏覽網站的匿名使用者。
授權	使用安全性原則限制外部使用者權限 (建立拒絕原則以限制外部使用者可以進行的操作)。
我的網站	僅將「建立個人網站」權限授與需要建立個人網站的參與者。
InfoPath Forms Server	停用 InfoPath Forms Services Web 服務 Proxy。

本主題隨附於下列可下載的叢書中，以便於閱讀與列印：