規劃外部安全共同作業環境的安全性 (Windows SharePoint Services)
本文內容:
保護後端伺服器
保護用戶端對伺服器通訊
保護管理中心網站
安全設計檢查清單
規劃伺服器角色的安全性強化
規劃 Windows SharePoint Services 功能的安全設定
外部安全環境之安全性指導的目標,是在外部網路上架設內容,讓無法存取公司網路的參與者,得以在內容上共同作業。此環境可以讓外部夥伴參與工作流程,或與組織內的員工一起在內容上共同作業。
針對外部安全共同作業環境,我們提出了數項特別建議,其中有部分可能不適用於所有解決方案。
保護後端伺服器
外部安全共同作業需要網際網路對向伺服器。您可以限制連線到網際網路的流量,以保護後端伺服器:
保護資料庫伺服器 至少在前端網頁伺服器與資料庫所在的伺服器之間設置防火牆。有些環境會規定資料庫伺服器必須位在內部網路中,而不可以直接設在外部網路環境。
保護索引角色 索引元件會經由前端網頁伺服器編目網站的內容。若要保護此通訊頻道,可設定專用前端網頁伺服器,供一或多部索引伺服器使用。這會將編目通訊隔離在前端網頁伺服器,讓使用者無法加以存取。除此之外,設定網際網路資訊服務 (IIS),將 SiteData.asmx (編目程式 SOAP 服務) 限制成只有索引伺服器 (或其他編目程式) 可以讀取。提供編目內容專用的前端網頁伺服器也有助於提升效能,因為主要前端伺服器的負載降低,從而改善了使用者經驗。
保護用戶端對伺服器通訊
保護外部網路環境中的共同作業,有賴於客戶端電腦與伺服器陣列環境之間的安全通訊。若條件許可,可使用安全通訊端階層 (SSL) 保護用戶端電腦與伺服器之間的通訊安全。若要增加安全性,可考慮下列作法:
向用戶端電腦要求憑證。若執行 SSL,即無需向用戶要求憑證。您可以向所有用戶端電腦要求憑證,增加外部共同作業的安全性。
使用 IPsec。若用戶端電腦支援 IPsec,可以設定 IPsec 規則以執行比 SSL 更高層級或規模的安全性。
保護管理中心網站
因為外部使用者可存取網路區域,因此保護管理中心網站,以封鎖外部存取並保護內部存取相形重要:
確認管理中心網站不是架設在前端網頁伺服器上。
封鎖對管理中心網站的外部存取。作法是在前端網頁伺服器與架設管理中心網站的伺服器之間設置防火牆。
使用 SSL 設定管理中心網站。這可確保內部網際網路與管理中心網站之間的通訊安全。
安全設計檢查清單
此設計檢查清單可與<規劃伺服器陣列安全性 (Windows SharePoint Services)>中的檢查清單並用。
拓撲
[ ] |
在前端網頁伺服器與應用程式及資料庫之間設置至少一道防火牆,以保護後端伺服器。 |
[ ] |
規劃內容編目專用的前端網頁伺服器。請勿將此前端網頁伺服器涵括在一般使用者的前端網頁輪替中。 |
邏輯架構
[ ] |
封鎖對管理中心網站的存取,並為此網站設定 SSL。 |
[ ] |
設定 SSP 管理網站的 SSL、以專用的 Web 應用程式架設這些網站,以及設定原則拒絕外部存取等,皆可用於保護 SSP 管理網站。 |
規劃伺服器角色的安全性強化
下表是其他有助於強化外部安全共同作業環境的建議。
| 元件 | 建議 |
|---|---|
連接埠 |
封鎖對管理中心網站連接埠的外部存取。 |
IIS |
限制 SiteData.asmx (編目程式 SOAP 服務) 只可讓索引伺服器 (或其他編目程式) 進行存取。 |
規劃 Windows SharePoint Services 功能的安全設定
下表是保護 Windows SharePoint Services 3.0 功能的其他建議。這些建議適用於外部安全共同作業環境。
| 功能或區域 | 建議 |
|---|---|
驗證 |
對經過驗證的使用者使用 SSL。此法不適用於匿名瀏覽網站的使用者。 |
授權 |
使用安全原則限制外部使用者的權限 (建立拒絕原則,以限制外部使用者所能執行的動作)。 |
下載本書
本主題隨附於下列可下載的叢書中,以便於閱讀與列印:
請參閱 Windows SharePoint Services 可下載的叢書 (英文) 上提供的完整叢書清單。