익스트라넷 환경을 위한 보안 강화 계획
업데이트 날짜: 2009년 4월
적용 대상: Office SharePoint Server 2007
마지막으로 수정된 항목: 2015-03-09
이 문서의 내용
익스트라넷 보안 강화 계획 도구
네트워크 토폴로지
도메인 트러스트 관계
서버 팜 역할과 통신
인프라 서버 역할과 통신
문서 변환을 지원하기 위한 요구 사항
네트워크 도메인 간 통신
외부 서버에 대한 연결
이 문서에서는 Microsoft Office SharePoint Server 2007 서버 팜이 경계 네트워크에 있고 인터넷이나 기업 네트워크의 콘텐츠를 사용할 수 있는 익스트라넷 환경에 대한 보안 강화 요구 사항에 대해 자세히 설명합니다.
지원되는 익스트라넷 토폴로지에 대한 자세한 내용은 익스트라넷 팜 토폴로지 디자인(Office SharePoint Server)을 참조하십시오.
익스트라넷 보안 강화 계획 도구
이 문서와 관련하여 익스트라넷 보안 강화 계획 도구: 연속 경계 (영문)(https://go.microsoft.com/fwlink/?linkid=85533&clcid=0x412)를 사용할 수 있습니다. 이 도구는 연속 경계 토폴로지를 기반으로 Microsoft Internet Security and Acceleration(ISA) Server를 실행하는 각 컴퓨터 및 각 라우터 또는 방화벽의 포트 요구 사항을 명확하게 제시해 줍니다. 이 도구는 환경에 맞게 편집하여 사용할 수 있는 Microsoft Office Visio 파일입니다. 예를 들어 다음을 실행할 수 있습니다.
해당하는 경우에 사용자 지정 포트 번호를 추가합니다.
프로토콜 또는 포트를 선택할 수 있는 경우 사용할 포트를 표시합니다.
사용 중인 환경에서 데이터베이스 통신에 사용되는 특정 포트를 표시합니다.
다음 기준에 따라 포트 요구 사항을 추가 또는 제거합니다.
전자 메일 통합 구성 여부
쿼리 역할을 배포할 계층
경계 도메인과 회사 도메인 간에 도메인 트러스트 관계를 구성하는지 여부
그 밖에 지원되는 익스트라넷 토폴로지에 대한 다른 계획 도구를 보려면 이 문서에 대한 의견을 제출하여 알려 주십시오.
네트워크 토폴로지
이 문서의 보안 강화 지침은 여러 가지 익스트라넷 구성에 적용할 수 있습니다. 다음의 연속 경계 네트워크 토폴로지 다이어그램은 예제 구현을 보여주고 익스트라넷 환경의 서버 역할과 클라이언트 역할을 나타냅니다. 이 다이어그램의 목적은 가능한 각 역할과 전체 환경에 대한 관계를 적절하게 보여 주는 것입니다. 따라서 아래 다이어그램에는 쿼리 역할이 두 번 나타납니다. 실제로 구현할 때는 쿼리 역할이 웹 서버에 배포되거나 응용 프로그램 서버로 배포되며, 둘 모두에 배포되지는 않습니다. 또한 쿼리 역할이 웹 서버에 배포되면 팜의 모든 웹 서버에 배포됩니다. 보안 강화 요구 사항 설명이라는 목적에 따라 이 다이어그램에서는 모든 옵션을 표시합니다. 표시된 라우터는 방화벽을 대신하여 사용할 수 있습니다.
.gif "익스트라넷 보안 강화 다이어그램")
도메인 트러스트 관계
도메인 트러스트 관계에 대한 요구 사항은 서버 팜의 구성 방식에 따라 달라집니다. 이 섹션에서는 가능한 두 가지 구성에 대해 설명합니다.
서버 팜이 경계 네트워크에 있는 경우
경계 네트워크에는 자체 Active Directory 디렉터리 서비스 인프라 및 도메인이 필요합니다. 일반적으로 경계 도메인과 회사 도메인은 서로 트러스트되도록 구성되지 않습니다. 그러나 인트라넷 사용자 및 도메인 자격 증명(Windows 인증)을 사용하는 원격 직원을 인증하려면 경계 도메인이 회사 도메인을 트러스트하는 단방향 트러스트 관계를 구성해야 합니다. 폼 인증 및 웹 SSO에는 도메인 트러스트 관계가 필요하지 않습니다.
서버 팜이 경계 네트워크와 회사 네트워크로 분할된 경우
서버 팜이 경계 네트워크와 회사 네트워크 내에 데이터베이스 서버가 있는 회사 네트워크로 분할된 경우에 Windows 계정을 사용하면 도메인 트러스트 관계가 필요합니다. 이 경우 경계 네트워크가 회사 네트워크를 트러스트해야 합니다. SQL 인증을 사용하는 경우에는 도메인 트러스트 관계가 필요하지 않습니다. 다음 표에는 두 가지 방식의 차이점이 설명되어 있습니다.
| Windows 인증 | SQL 인증 | |
|---|---|---|
설명 |
응용 프로그램 풀 계정을 비롯한 모든 Office SharePoint Server 2007 서비스 및 관리 계정에 회사 도메인 계정이 사용됩니다. 경계 네트워크가 회사 네트워크를 트러스트하는 단방향 트러스트 관계가 필요합니다. |
Office SharePoint Server 2007 계정은 다음과 같은 방식으로 구성됩니다.
트러스트 관계가 필요하지는 않지만 내부 도메인 컨트롤러에 대한 클라이언트 인증을 지원하기 위해 트러스트 관계를 구성할 수 있습니다. 참고 응용 프로그램 서버가 회사 도메인에 있으면 경계 네트워크가 회사 네트워크를 트러스트하는 단방향 트러스트 관계가 필요합니다. |
설정 |
설정 사항:
|
설정 사항:
|
추가 정보 |
단방향 트러스트 관계를 사용하면 익스트라넷 도메인에 연결된 웹 서버 및 응용 프로그램 서버가 회사 도메인의 계정을 확인할 수 있습니다. |
|
위 표의 정보는 다음과 같은 내용을 전제로 합니다.
웹 서버와 응용 프로그램 서버가 모두 경계 네트워크에 있습니다.
모든 계정은 필요한 최소 사용 권한을 사용하여 생성되었습니다. 다음은 그와 관련된 권장 사항입니다.
모든 관리 및 서비스 계정에 대해 별도의 계정을 만듭니다.
SQL Server를 호스팅하는 서버 컴퓨터를 비롯한 모든 컴퓨터에 Administrators 그룹 구성원의 계정이 없습니다.
SQL 인증을 사용하는 경우 아래의 SQL 로그인에 다음과 같은 권한을 포함하도록 만들어야 합니다.
Psconfig 명령줄 도구를 실행하는 데 사용되는 계정의 SQL 로그인 계정이 dbcreator 및 securityadmin SQL 역할의 구성원이어야 합니다. 또한 데이터베이스 서버가 아니라 설치 프로그램을 실행하는 각 서버에서 Administrators 그룹의 구성원이어야 합니다.
서버 팜 계정의 SQL 로그인 이 로그인은 구성 데이터베이스 및 SharePoint_AdminContent 데이터베이스를 만드는 데 사용됩니다. 이 로그인은 dbcreator 역할을 포함해야 하지만 securityadmin 역할의 구성원이 아니어도 됩니다. 또한 SQL 인증을 사용하여 만들어야 합니다. SQL 로그인을 만들 때 지정하는 암호로 SQL 인증을 사용하도록 서버 팜 계정을 구성합니다.
기타 모든 데이터베이스용 SQL 로그인 이 로그인은 SQL 인증을 사용하여 만들어야 하며, dbcreator 및 securityadmin SQL 역할의 구성원이어야 합니다.
Office SharePoint Server 2007 계정에 대한 자세한 내용은 관리 및 서비스 계정 계획(Office SharePoint Server)을 참조하십시오.
Psconfig 명령줄 도구를 사용하여 데이터베이스를 만드는 데 대한 자세한 내용은 SharePoint 제품 및 기술 구성 마법사에 대한 명령줄 참조(Office SharePoint Server)를 참조하십시오.
서버 팜 역할과 통신
익스트라넷 환경을 구성하는 경우 서버 팜 내에서 다양한 서버 역할이 어떤 방식으로 통신하는지 알아야 합니다.
서버 역할 간 통신
다음 그림은 서버 팜 내의 통신 채널을 보여 줍니다. 그림 아래의 표는 그림에 나타난 포트 및 프로토콜을 나타냅니다. 검정색 실선 화살표는 통신을 시작하는 서버 역할을 나타냅니다. 예를 들어 Excel 계산 서비스 역할은 데이터베이스 서버와의 통신을 시작합니다. 데이터베이스 서버 역할은 Excel 계산 서비스 역할과의 통신을 시작하지 않습니다. 빨간색 점선 화살표는 둘 중 한 서버가 통신을 시작하는 모습을 나타냅니다. 이런 정보는 방화벽에 인바운드 통신 및 아웃바운드 통신을 구성할 경우를 파악하는 데 유용합니다.
.gif "팜 간 서버 통신")
| 설명선 | 포트 및 프로토콜 |
|---|---|
1 |
클라이언트 액세스(IRM 및 검색 쿼리 포함) - 다음 중 하나 이상:
|
2 |
파일 및 프린터 공유 서비스 - 다음 중 *하나*
|
3 |
Office Server 웹 서비스 - 다음 두 가지 *모두*:
|
4 |
데이터베이스 통신:
|
5 |
검색 크롤링 - 인증 구성 방법에 따라 인덱스 구성 요소에서 콘텐츠에 액세스할 수 있도록 SharePoint 사이트를 다른 영역이나 IIS(인터넷 정보 서비스) 사이트로 확장할 수 있습니다. 이 구성을 통해 사용자 지정 포트를 만들 수 있습니다.
|
6 |
Single Sign-On 서비스 - SSO 서비스를 실행 중인 모든 서버 역할은 RPC(원격 프로시저 호출)를 사용하여 암호화 키 서버와 통신할 수 있어야 합니다. 이러한 서버 역할에는 모든 웹 서버, Excel 계산 서비스 역할 및 인덱스 역할이 포함됩니다. 또한 쿼리 서버에 사용자 지정 보안 트리머가 설치되어 있고 이 보안 트리머가 SSO 데이터에 액세스할 수 있어야 하는 경우 SSO 서비스가 이 서버 역할에서도 실행됩니다. RPC - TCP 포트 135와 다음 중 *하나* 필요
SSO 서비스가 필요한 서버 역할 및 암호화 키 서버에 대한 자세한 내용은 Single Sign-On 계획을 참조하십시오. |
웹 서버는 사용 가능한 쿼리 서버에 대한 쿼리 요청의 부하를 자동으로 분산합니다. 그 결과 모든 웹 서버 컴퓨터에 쿼리 역할이 배포되면 파일 및 프린터 공유 서비스 및 Office Server 웹 서비스를 사용하여 이러한 서버들이 서로 통신을 합니다. 다음 그림은 이러한 서버 간의 통신 채널을 보여 줍니다.
.gif "웹 서버에서 쿼리 서버로")
관리 사이트와 서버 역할 간 통신
관리 사이트의 유형:
중앙 관리 사이트 이 사이트는 응용 프로그램 서버 또는 웹 서버에 설치할 수 있습니다.
공유 서비스 관리 사이트 이 사이트는 웹 서버 전체에서 미러됩니다.
이 섹션에서는 팜 내에서 관리자 워크스테이션과 서버 역할 간에 통신하는 데 필요한 포트 및 프로토콜 요구 사항에 대해 설명합니다. 중앙 관리 사이트는 모든 웹 서버 또는 응용 프로그램 서버에 설치할 수 있습니다. 중앙 관리 사이트를 통해 변경한 구성은 구성 데이터베이스로 전달됩니다. 팜의 다른 서버 역할은 구성 데이터베이스에 등록된 구성 변경 사항을 폴링 주기 중에 가져옵니다. 따라서 중앙 관리 사이트에서는 서버 팜의 다른 서버 역할에 새로운 통신 설정을 적용하지 않습니다.
다음 그림은 관리자 워크스테이션에서 관리 사이트와 구성 데이터베이스로 전달되는 통신 채널을 보여 줍니다.
.gif "관리자 사이트 관리 토폴로지")
다음 표에서는 위 그림에 나타난 포트 및 프로토콜에 대해 설명합니다.
| 설명선 | 포트 및 프로토콜 |
|---|---|
A |
공유 서비스 관리 사이트 - 다음 중 하나 이상:
|
B |
중앙 관리 사이트 - 다음 중 하나 이상:
|
C |
데이터베이스 통신:
|
인프라 서버 역할과 통신
익스트라넷 환경을 구성하는 경우 다양한 서버 역할이 인프라 서버 컴퓨터 내에서 어떤 방식으로 통신하는지 알아야 합니다.
Active Directory 도메인 컨트롤러
다음 표에는 각 서버 역할에서 Active Directory 도메인 컨트롤러로 연결(인바운드 연결)하는 데 필요한 포트가 나열되어 있습니다.
| 항목 | 웹 서버 | 쿼리 서버 | 인덱스 서버 | Excel 계산 서비스 | 데이터베이스 서버 |
|---|---|---|---|---|---|
TCP/UDP 445(디렉터리 서비스) |
X |
X |
X |
X |
X |
TCP/UDP 88(Kerberos 인증) |
X |
X |
X |
X |
X |
LDAP(Lightweight Directory Access Protocol)/LDAPS 포트 389/636(기본값)(사용자 지정 가능) |
X |
X |
X |
서버 역할에 LDAP/LDAPS 포트가 필요한 경우는 다음과 같습니다.
웹 서버 LDAP 인증을 구성한 경우 LDAP/LDAPS 포트를 사용합니다.
인덱스 서버 프로필 가져오기 원본으로 구성된 도메인 컨트롤러에서 프로필을 가져오려면 역할에 LDAP/LDAPS 포트가 필요합니다.
Excel 계산 서비스 LDAP를 사용하여 인증하도록 데이터 원본 연결을 구성한 경우 LDAP/LDAPS 포트만 사용합니다.
DNS 서버
다음 표에는 각 서버 역할에서 DNS(Domain Name System) 서버로 연결(인바운드 연결)하는 데 필요한 포트가 나열되어 있습니다. 여러 익스트라넷 환경에서 서버 컴퓨터 한 대가 Active Directory 도메인 컨트롤러와 DNS 서버 모두를 호스팅합니다.
| 항목 | 웹 서버 | 쿼리 서버 | 인덱스 서버 | Excel 계산 서비스 | 데이터베이스 서버 |
|---|---|---|---|---|---|
DNS, TCP/UDP 53 |
X |
X |
X |
X |
X |
SMTP 서비스
전자 메일 통합 기능을 이용하려면 서버 팜의 프런트 엔드 웹 서버 중 적어도 하나에서 TCP 포트 25를 사용하는 SMTP(Simple Mail Transport Protocol) 서비스를 사용해야 합니다. SMTP 서비스는 받는 전자 메일(인바운드 연결)에 필요합니다. 보내는 전자 메일의 경우에는 SMTP 서비스를 사용하거나, 조직의 전용 전자 메일 서버(예: Microsoft Exchange Server를 실행하는 컴퓨터)를 통해 보내는 전자 메일을 라우팅할 수 있습니다.
| 항목 | 웹 서버 | 쿼리 서버 | 인덱스 서버 | Excel 계산 서비스 | 데이터베이스 서버 |
|---|---|---|---|---|---|
TCP 포트 25 |
X |
문서 변환을 지원하기 위한 요구 사항
서버에서 문서 변환기를 사용하는 경우 응용 프로그램 서버에서 다음 서비스를 설치하고 시작해야 합니다.
문서 변환 시작 관리자 서비스
문서 변환 부하 분산 서비스
일반적으로 이러한 서비스는 사용자의 요구에 가장 적합한 토폴로지에 따라 같은 응용 프로그램 서버나 다른 응용 프로그램 서버에 설치됩니다. 필요한 경우 이러한 서비스를 한 대 이상의 웹 서버에 설치할 수도 있습니다. 이러한 서비스가 서로 다른 서버에 설치되는 경우 이들 서버 간 통신에서 이러한 서비스를 사용하도록 설정해야 서로 통신이 가능합니다.
다음 표에는 이러한 서비스에 필요한 포트 및 프로토콜이 나열되어 있습니다. 이러한 서비스가 설치되지 않은 팜의 서버 역할에는 이 요구 사항이 적용되지 않습니다.
| 서비스 | 요구 사항 |
|---|---|
문서 변환 시작 관리자 서비스 |
TCP 포트 8082(TCP 또는 SSL에 대해 사용자 지정 가능) |
문서 변환 부하 분산 서비스 |
TCP 포트 8093(TCP 또는 SSL에 대해 사용자 지정 가능) |
서버 팜에서 이러한 서비스를 구성하는 방법에 대한 자세한 내용은 문서 변환 토폴로지 디자인을 참조하십시오.
네트워크 도메인 간 통신
Active Directory 통신
회사 네트워크에서 도메인 컨트롤러를 사용하여 인증할 수 있도록 지원하기 위해 도메인 간의 Active Directory 통신을 사용하려면 경계 네트워크가 회사 네트워크를 트러스트하는 단방향 트러스트 관계 이상이 필요합니다.
이 문서의 첫 번째 그림에 제시한 예에서 단방향 트러스트 관계를 지원하려면 다음 포트를 ISA Server B에 대한 인바운드 연결로 구성해야 합니다.
TCP/UDP 135(RPC)
TCP/UDP 389(기본값, 사용자 지정 가능)(LDAP)
TCP 636(기본값, 사용자 지정 가능)(LDAP SSL)
TCP 3268(LDAP GC)
TCP 3269(LDAP GC SSL)
TCP/UDP 53(DNS)
TCP/UDP 88(Kerberos)
TCP/UDP 445(디렉터리 서비스)
TCP/UDP 749(Kerberos-Adm)
TCP port 750(Kerberos-IV)
ISA Server B(또는 경계 네트워크와 회사 네트워크 사이의 다른 장치)를 구성할 때 네트워크 관계를 라우팅됨으로 정의해야 합니다. 네트워크 관계를 NAT(네트워크 주소 변환)로 정의하지 마십시오.
트러스트 관계와 관련된 보안 강화 요구 사항에 대한 자세한 내용은 다음 리소스를 참조하십시오.
도메인 및 트러스트를 위한 방화벽을 구성하는 방법(https://go.microsoft.com/fwlink/?linkid=83470&clcid=0x412).
방화벽으로 분할된 네트워크의 Active Directory (영문)(https://go.microsoft.com/fwlink/?linkid=76147&clcid=0x412)
콘텐츠 게시에 대한 보안 강화
콘텐츠를 게시하려면 원본 서버 팜의 중앙 관리 사이트와 대상 서버 팜의 중앙 관리 사이트 간의 단방향 통신이 필요합니다. 이 경우 보안 강화를 위해 다음 사항이 필요합니다.
대상 서버 팜의 중앙 관리 사이트에 사용되는 포트 번호
원본 팜에서 아웃바운드된 TCP 80 또는 443(SOAP 및 HTTP Post의 경우).
원본 팜에 콘텐츠 배포를 구성하는 경우 대상 팜에서 인증하는 데 사용할 계정을 지정해야 합니다. 한 도메인에서 다른 도메인으로 콘텐츠를 게시하는 경우에는 도메인 간의 트러스트 관계가 필요하지 않습니다. 그러나 콘텐츠를 배포할 때는 다음 두 가지 계정 옵션 가운데 한 가지를 선택하는 경우 도메인 트러스트 관계가 필요합니다.
원본 팜의 응용 프로그램 풀 계정에 대상 팜의 중앙 관리에 대한 사용 권한이 있으면 응용 프로그램 풀 계정 사용 옵션을 선택합니다. 이 옵션을 선택하는 경우 대상 팜의 도메인이 원본 팜의 도메인을 트러스트하는 단방향 트러스트 관계가 필요합니다.
원본 응용 프로그램 풀 계정을 사용하지 않고 수동으로 계정을 지정할 수 있습니다. 이 경우에는 계정이 원본 팜의 네트워크 도메인에 있지 않아도 됩니다. 일반적으로 이 계정은 대상 팜에 대해 고유하며, Windows 통합 인증이나 기본 인증을 사용하여 인증할 수 있습니다.
외부 서버에 연결
Office SharePoint Server 2007의 몇몇 기능은 서버 팜 외부의 서버 컴퓨터에 있는 데이터에 액세스할 수 있도록 구성될 수 있습니다. 외부 서버 컴퓨터의 데이터에 액세스할 수 있도록 구성하면 해당 컴퓨터 간에 통신을 사용하도록 설정해야 합니다. 대부분의 경우 사용되는 포트, 프로토콜, 서비스는 외부 리소스에 따라 달라집니다. 예를 들면 다음과 같습니다.
파일 공유에 연결하는 경우 파일 및 프린터 공유 서비스를 사용합니다.
외부 SQL Server 데이터베이스에 연결하는 경우 SQL Server 통신에 기본 포트 또는 사용자 지정된 포트를 사용합니다.
Oracle에 연결하는 경우 일반적으로 OLE DB를 사용합니다.
웹 서비스에 연결하는 경우 HTTP와 HTTPS, 두 가지를 사용합니다.
다음 표에는 서버 팜 외부의 서버 컴퓨터에 있는 데이터에 액세스할 수 있도록 구성 가능한 기능이 나열되어 있습니다.
| 기능 | 설명 |
|---|---|
콘텐츠 크롤링 |
웹 사이트, 파일 공유, Exchange 공용 폴더, 비즈니스 데이터 응용 프로그램 등의 외부 리소스에 있는 데이터를 크롤링하도록 크롤링 규칙을 구성할 수 있습니다. 외부 데이터 원본을 크롤링하는 경우 인덱스 역할이 이러한 외부 리소스와 직접 통신합니다. 자세한 내용은 콘텐츠 크롤링 계획(Office SharePoint Server)을 참조하십시오. |
비즈니스 데이터 카탈로그 연결 |
웹 서버 및 응용 프로그램 서버는 비즈니스 데이터 카탈로그 연결이 구성된 컴퓨터와 직접 통신합니다. 자세한 내용은 비즈니스 데이터와 비즈니스 데이터 카탈로그 연결 계획을 참조하십시오. |
Microsoft Office Excel 통합 문서 받기 |
Excel 서비스에서 연 통합 문서를 외부 데이터 원본(예: Analysis Services 및 SQL Server)에 연결하는 경우 이러한 외부 데이터 원본에 연결할 수 있도록 적절한 TCP/IP 포트를 열어야 합니다. 자세한 내용은 Excel 서비스용 외부 데이터 연결 계획을 참조하십시오. UNC(범용 명명 규칙) 경로를 Excel 서비스의 신뢰할 수 있는 위치로 구성한 경우 Excel 계산 서비스 응용 프로그램 역할은 파일 및 프린터 공유 서비스에서 사용하는 프로토콜과 포트를 사용하여 UNC 경로를 통해 Office Excel 통합 문서를 받습니다. 콘텐츠 데이터베이스에 저장된 통합 문서나 사용자가 사이트에서 업로드하거나 다운로드한 통합 문서는 이 통신의 영향을 받지 않습니다. |
이 문서의 다운로드
이 항목은 다운로드 가능한 다음 문서에도 포함되어 있어 더 쉽게 읽고 인쇄할 수 있습니다.
사용 가능한 문서의 전체 목록은 다운로드 가능한 Office SharePoint Server 2007 관련 콘텐츠 (영문)를 참조하십시오.