規劃外部匿名存取環境的安全性 (Windows SharePoint Services)
本文內容:
保護後端伺服器
設定匿名存取
保護管理中心網站
停用內送電子郵件
安全設計檢查清單
規劃伺服器角色的安全性強化
規劃 Windows SharePoint Services 功能的安全設定
外部匿名存取環境的安全性指導目標,是為了允許匿名存取內容,同時保護伺服器陣列中的後端伺服器,不讓使用者直接存取,或是防止透過前端網頁伺服器進行的惡意動作。在部署多個伺服器陣列來支援製作、臨時和發佈的環境中,此環境的指導會以發佈的伺服器陣列為主 (使用者匿名存取的伺服器陣列)。
針對外部匿名存取環境,有幾項特有的建議。其中有部分可能不適用於所有的方案。
保護後端伺服器
架設供匿名使用的網站需要有網際網路對向伺服器。若要限制公開網際網路流量的內容,您可以保護後端伺服器,包括應用程式伺服器 (搜尋) 以及裝載資料庫的伺服器:
保護資料庫伺服器 至少在前端網頁伺服器與資料庫所在的伺服器之間設置防火牆。有些環境會規定資料庫伺服器必須位在內部網路中,而不可以直接設在外部網路環境。
保護索引角色 索引元件會經由前端網頁伺服器編目網站的內容。若要保護此通訊頻道,可設定專用前端網頁伺服器,供一或多部索引伺服器使用。這會將編目通訊隔離在前端網頁伺服器,讓使用者無法加以存取。除此之外,設定網際網路資訊服務 (IIS),將 SiteData.asmx (編目程式 SOAP 服務) 限制成只有索引伺服器 (或其他編目程式) 可以讀取。提供編目內容專用的前端網頁伺服器也有助於提升效能,因為主要前端伺服器的負載降低,從而改善了使用者經驗。
設定匿名存取
若要讓內容可供匿名存取,必須設定下列項目:
必須將網站或網站集合設定為允許匿名存取。
Web 應用程式中至少要有一個區域必須設定為允許匿名存取。
僅針對需要未經驗證存取的 Web 應用程式啟用匿名存取。若要使用個人化的驗證,請使用簡易資料庫驗證提供者來實作表單驗證。
保護管理中心網站
因為外部使用者可存取網路區域,因此保護管理中心網站,以封鎖外部存取並保護內部存取相形重要:
確認管理中心網站不是架設在前端網頁伺服器上。
封鎖對管理中心網站的外部存取。作法是在前端網頁伺服器與架設管理中心網站的伺服器之間設置防火牆。
使用 [安全通訊端層 (SSL)] 來設定管理中心網站。這可確保內部網際網路與管理中心網站之間的通訊安全。
停用內送電子郵件
請勿為內送電子郵件使用電子郵件整合。這麼做可保護您的環境,避免因為收到來自網際網路匿名來源的電子郵件而遭受風險。若要允許內送電子郵件,請將管理中心網站設定為啟用匿名電子郵件。一旦啟用此選項,就不太安全。
安全設計檢查清單
此設計檢查清單可與<Review the secure topology design checklists (Windows SharePoint Services)>中的檢查清單搭配使用。
拓撲
[ ] |
在前端網頁伺服器與應用程式及資料庫之間設置至少一道防火牆,以保護後端伺服器。 |
[ ] |
規劃內容編目專用的前端網頁伺服器。請勿將此前端網頁伺服器涵括在一般使用者前端網頁輪替中。 |
邏輯架構
[ ] |
僅針對所架設之網站或網站集合可允許匿名存取的 Web 應用程式區域,啟用匿名存取。 如需詳細資訊,請參閱<規劃驗證方法 (Windows SharePoint Services)>。 |
[ ] |
使用 SSL 來保護內容部署。 |
[ ] |
封鎖對管理中心網站的存取,並為此網站設定 SSL。 |
規劃伺服器角色的安全性強化
下表說明外部匿名存取環境的其他強化建議。
| 元件 | 建議 |
|---|---|
連接埠 |
封鎖對管理中心網站連接埠的外部存取。 |
通訊協定 |
停用 SMTP。 |
IIS |
若要設定專用前端網頁伺服器來編製索引,請將 IIS 設定為限制 SiteData.asmx (編目程式 SOAP 服務) 只可讓索引伺服器 (或其他編目程式) 進行存取。 |
規劃 Windows SharePoint Services 功能的安全設定
對此環境無其他建議指導。
下載本書
本主題隨附於下列可下載的叢書中,以便於閱讀與列印:
請參閱 Windows SharePoint Services 可下載的叢書 (英文) 上提供的完整叢書清單。