保護外部 SharePoint 通訊安全

發行項
08/18/2016

深入了解 SharePoint 保護外部 SharePoint 通訊安全

Pav Cherny

藉由使用傳輸層安全性 (TLS) 加密在網際網路存取的情況下的 SharePoint 流量 / 安全通訊端層 (SSL) 是保護通訊熟悉的方法。因為連連 1995 Netscape 時引入 SSL 保護透過加密的資料作為實作 HTTP 通訊協定的上方，網路型用戶端/伺服器通訊有倚賴 SSL 憑證。 SharePoint 技術善用透過 IIS 使用.NET，提供基本的 TLS 功能的 Web 伺服器平台的 TLS。但是，SharePoint 網站啟用 TLS 是只有一個層面保護外部通訊。例如，您必須也考慮其他 Facet 主機和網路防火牆、設計的拓樸和基礎的 Active Directory 及實體網路相依性。

在 7 月 2009年] 欄中，我涵蓋保護伺服器的通訊在內部的環境中，藉由強制執行健康情況原則透過網路存取保護 (NAP) 的 IPSec 以及下列一般 SharePoint 安全性最佳實務的選項。其中一個索引鍵的場所，保護內部通訊的了解內部使用者與電腦的身分識別，，根據這個，建立原則來授與，並限制存取。這個前提是有效的驗證環境例如，使用 Active Directory 和 Kerberos 或 NT 區域網路管理員 (NTLM)，但是很完整在環境中，其中至少一些使用者是匿名的或類別的廠商或協力廠商，這類的使用者需要不同的原則套用。在面對網際網路的網站的內容中的安全性需要使用多個層級的類似的方法。

基礎的保護外部通訊的安全原則的其中一個封鎖不想要的存取儘早盡可能，時需要能夠執行安全性稽核和記錄的驗證及驗證的使用者。典型的方法，以滿足這個需求是最小，使用在網路邊緣的 HTTP 流量的使用者驗證和可設定狀態檢查防火牆。但是，TLS 造成一項挑戰，可設定狀況的封包的檢查，因為防火牆必須能夠解密的封包、檢查它們、重新加密它們，並將其傳遞至前端伺服器處理。此外，防火牆 (和任何負載平衡解決方案) 必須保留 HTTPS 工作階段。網際網路安全性加速 ISA Server 2006 和智慧型應用程式閘道 (IAG) 伺服器 2007年提供防火牆解決方案，可以使用 IIS，SharePoint 提供的保護通訊 TLS 相容方法一起。

瞭解在 SharePoint 中的 TLS 通訊需要瞭解如何控管的架構和拓樸影響 IIS，而任何防火牆處理 SSL 憑證。因此，有許多的設計和部署可從網際網路存取的 SharePoint 解決方案的考量。 SharePoint 架構包含某些具挑戰性的組態方面，除了 IIS、 SSL 及防火牆考量，例如替代存取對應 (AAM)]、 [驗證]，] 和 [SharePoint 區域。

拓樸設計考量

開發多重 SharePoint 網站的安全性層級定義實體網路拓樸的開頭。如果您可以減少或消除不必要的資料傳輸之前叫前端和後端伺服器，您減少伺服器負載不僅也降低惡意流量的病毒、垃圾郵件及惡意程式碼的風險。

網路拓樸的 SharePoint 容納 TLS，取決於您的組織所需的使用案例。 圖 1 顯示一些考量和相關的拓樸決策決策樹。

您可以簡化決策進一步分隔不同的拓樸選項到三個區域：

之前叫防火牆的流量。
防火牆] 與 [內部網路之間的流量。
在內部網路的流量。

圖 1 的網際網路存取的拓樸的決策考量。

方面設定 TLS，進行這種區分是很重要，因為您必須設定路由] 及 [防火牆規則，來橋接 HTTPS 連線網際網路要求和 IIS 前端伺服器之間，設定 IIS 做 SharePoint 的應用程式，並確保受到內部資源。根據「的拓樸 TLS 流量可能需要能夠周遊三個透過多個路由器和防火牆這些區域。讓我們來看一下三個網際網路存取的站台的拓樸選項，並考慮在拓樸會如何影響 TLS 流量。 圖 2 顯示基本「邊緣」使用一個防火牆，保護內部伺服器的拓樸。

圖 2 單一防火牆與基本邊緣拓樸。

在邊緣的拓樸中單一網路防火牆代表內部的 SharePoint 網站之間的外部使用者。它也有內部和外部使用者使用單一的 Active Directory 環境的好處，可簡化維護和管理。若要保護透過 TLS 的流量，您可以設定防火牆，也作為反向 Proxy。整合式的反向 Proxy 的概念如 ISA Server 是重要的保護網際網路面向的網站，因為反向 Proxy 攔截傳入的要求可以驗證的外部使用者、解密 TLS 流量、檢查它要以防火牆的規則及轉送至前端伺服器的要求。公開的 URL 可能會有所不同內部的 URL，因此反向 Proxy 必須具有一種執行連結轉譯，若要將外部 URL 轉換成內部 URL。 IAG 伺服器提供額外的安全性] 功能如端點，透過根據使用者的身分識別與用戶端電腦健康和能夠使用 Outlook Web Access 時，連結轉譯內部 SharePoint URL 的存取原則的健全狀況為主的授權。

拓樸加入一個額外的層級，並練習伺服器之間通訊的更細微地控制，您可以建立外圍網路主控 SharePoint 伺服器。在一個的周邊網路 SharePoint 伺服器是從防火牆的網際網路及內部網路防火牆所隔離的。這也是 back-to-back 的拓樸，圖 3 所示。

圖 3與兩個防火牆的「 back-to-back 」拓樸。

就說您並不限於 back-to-back 拓樸中的只是兩個防火牆。您可以實作由防火牆分隔的額外層或路由器，以進一步分隔 SharePoint 角色。就例如您可以使用一個三層的方法置於前端伺服器的第一個，DMZ 中的每個圖層後面應該接著應用程式、資料庫及搜尋/索引伺服器，然後結束目前的目錄/DNS 伺服器。您也可以自訂一個 back-to-back 以包含在不同伺服陣列中的內部的執行環境，然後將其發佈到周邊網路中伺服陣列拓樸。另一個選項是分割外圍網路與內部網路，以建立分割 back-to-back 拓撲之間 SharePoint 伺服陣列，如的圖 4] 所示。拓樸中使用安全性層級的方法，以一致的前端伺服器位於周邊網路中]，並且執行 SQL Server 的後端伺服器位於內部網路]。剩餘的角色如索引、搜尋和中央管理，可以是其中一個網路。

圖 4在「分割」的 back-to-back 拓樸，伺服器角色可以設定內部網路或 DMZ 中。

將搜尋伺服器放在內部網路的最佳搜尋和耙梳的效能。您可以指定搜尋伺服器要耙梳。請記住分割 back-to-back 拓樸需要單向信任之間周邊和內部] 和 [AD 環境，以支援的通訊。

資源

SharePoint 產品和技術」網站

Windows SharePoint Services TechCenter

Windows SharePoint Services Developer Center

Microsoft SharePoint 產品和技術團隊部落格

驗證

決定適當的驗證組態設定外部通訊的安全性可以迅速成為助，限於可用的選項和拓樸層級的驗證和授權會發生。

就例如您的環境可能支援 RSA SecureID、加入網路原則伺服器 (NPS) 或使用自訂的輕量型目錄存取通訊協定 LDAP 型目錄。在結束，相關的驗證方面保護外部 SharePoint 通訊會包含的外部和內部使用者的驗證和 IIS 驗證的 SharePoint 網站。

讓我們來簡化這些方面更多的追蹤要求外部使用者從 SharePoint 網站，查看如何驗證和授權會發生的通訊路徑。

外部使用者提出要求到防火牆進行路由處理。如果防火牆設定為使用表單架構驗證 (FBA) 的 ISA Server 使用者是顯示登入表單，並驗證。要求然後傳送到一個前端伺服器。
在前端伺服器上的 IIS 接受要求；決定 URL ；與相關聯的站台檢查驗證設定站台；驗證流量；並將它傳遞至 SharePoint 的授權。
SharePoint 會執行授權。 SharePoint 網站的權限和授權是此的文件的範圍之外，因為 TLS 為每個 IIS 層級的站台設定。更多有關 SharePoint 授權和驗證，請參閱計劃的驗證方法 (Office SharePoint 伺服器)。

要支援 TLS 的站台組態

SharePoint 會嚴重依賴 IIS 基礎的拓樸和驗證設定以提供必要的功能來支援 TLS。流量路由傳送到 SharePoint 時，它有已經通過防火牆，並由 IIS 處理。設定以支援 TLS 的 SharePoint 網站是多工作的通知比直接的每個站台的基礎環境的 SharePoint 指定建立服務的帳戶的 SSL 憑證等等。仍然，很重要時部署 TLS，請考慮兩個 SharePoint 特定詳細資料：區域和其他存取對應 (AAM)。兩個被設定在應用程式管理管理中心網站中。

當建立或擴充 Web 應用程式時，您可以指定區域，並輸入 SharePoint 使用來建立一組初始的 AAMs (請參閱的 [圖 5]) 的環境相關的詳細資料。從安全性觀點來看主要考量是驗證提供者和是否 ISA Server 使用 TLS 通訊與的前端伺服器或終止 HTTPS 要求在防火牆的外部使用者透過 HTTP 通訊。

圖 5SSL] 和 [SharePoint 網站其他 confi guration 選項]。

雖然使用從 ISA Server 到前端伺服器的通訊 TLS 建立其他它處理負荷，提供的端對端的加密的解決方案，是我慣用的方法。終止在 ISA Server 的 TLS 也可能會中斷某些使用情況下的例如時使用自訂Web 組件儲存在 SQL Server 資料庫中的 URL。此處理序類似於 enabeing TLS 的現有站台。您必須檢查 [使用安全通訊端層 (SSL)] 選項按鈕、設定其他選項，然後瀏覽至 AAM 設定並確認它們已正確設定。

區域與 AAM 組態被相關。 SharePoint 會使用區域的概念，以允許邏輯如外部網路，網際網路及內部網路以及這些組件可以使用 URL 您拓樸的各部分之間的差異。 AAM 定義指定 URL 標頭應該外觀的各種區域使用者 URL 不同的內部 URL 時。如果您的內部 URL 是公開的 URL 使用完整格式的網域名稱 (FQDN) 相同，您不需要設定 AAM ；SharePoint 會自動。其他的情況下您的 SharePoint 網站的設定 AAMs。特洛伊 Starr 張貼在 SharePoint 小組部落格您可以在找到什麼每個 SharePoint 系統管理員需要知道其他存取對應 (組件 3 之 1) 的 Sharepoint AAMs 廣泛的概觀。值得也看；AAM 設定錯誤是其中一個最普遍的外部網路的案例問題原因。

IIS 設定 SSL 憑證 (英文)

正如所提到的 SharePoint 網站啟用 SSL 完成在 IIS 層級。在 IIS7，設定 SSL 憑證為透過伺服器憑證。它們會位於 IIS 伺服器的 [屬性] 頁面。指示、考量和使用方式案例時啟用 IIS 網站，請記住要使用 SSL，Microsoft 已經發佈請記住憑證授權單位及 IP 位址/連接埠繫結特別相關的保護網際網路存取的網站。有數個選項可用來產生 SSL 憑證。您可以使用 selfssl.exe、部署 PKI 與某個受信任 Windows 憑證授權單位 (CA)，或商業的提供者。實驗室環境和開發目的，自我簽署的憑證很適合，但您可能會遭遇到的生產環境的使用者問題。除非使用者接受憑證在瀏覽器中的，它們會提示您存取憑證來自受信任的來源的啟用 SSL 的站台時。這可能會導致支援呼叫，讓您容易部署生產從根 CA 憑證的混淆。

很可能使用多個啟用 SSL 的網站相同的 IP 位址或相同的連接埠。簡單的方法是使用固定的 IP 位址和相同的連接埠為每個的網站，IIS 可以繫結至的 IP 位址和連接埠站台。或者，如果您的設定會使用一個根網域和多個的子網站，您可以使用萬用字元憑證多個站台替代名稱 (SAN)。處理程序通常是相同為的是一般的憑證，但您無法將它設定在 IIS 7e 畫面在站台連結。使用 appcmd 並且執行下列命令，將 SSL 繫結至該網站，並設定主機標頭：C:\Windows\System32\inetsrv\appcmd 設定站台 /site。名稱: < CustomSiteName >/ + [通訊協定 = 'https'，bindingInformation = ' *： 443: < FQDN >]。繫結。如果正確地完成，您將會看到與您指定網站繫結的主機標頭的 SSL 繫結。

ISA Server 設定

不論您是否要保護與 TLS 的現有或新 SharePoint 網站，您必須確定流量可以通過防火牆。 ISA 伺服器提供好幾種機制，使用 SharePoint 讓周遊:FBA、 HTTPS 橋接，連結轉譯透過反向 Proxy 和 SharePoint 發佈規則。

ISA Server 會使用精靈來協助您發佈 SharePoint 網站。此精靈建立的接聽程式和一個「允許」若要啟用 SharePoint 流量的規則。之前在執行精靈前端伺服器裝載站台上安裝 IIS 透過 SSL 憑證匯出]，並匯入 ISA Server 使用憑證 MMC 嵌入式管理單元]。將憑證匯入本機電腦帳戶個人存放區。執行這項操作，可讓您建立解密的連入流量，請檢查它，ISA Server 中，並重新加密其接聽程式。如需有關設定 ISA Server 的 SharePoint 的詳細資訊，請參閱驗證在 ISA Server 2006 與設定 ISA 2006 的 Sharepoint 2007 (英文)。

您要的設定 ISA Server 發佈您的啟用 SSL 的 SharePoint 網站，內部且外部 URL 解析 DNS，透過已設定使用者帳戶和權限；設定 SharePoint 區域和 AAMs ；而且您有安裝透過 IIS 網站的 SSL 憑證。這個時候輸入 ISA Server 相關的詳細資料。設定接聽項和發佈規則時請記住下列事項：

AAM：的替代存取對應到正常，您必須設定發佈規則轉寄原始主機標頭。此外，請確定您為內部和外部 URL 中指定適當的 FQDN 位址。
FBA：請確定您已選取 HTML 表單驗證和視窗 (Active Directory) 從 [驗證] 索引標籤，除非您正在使用 Kerberos] 或 [自訂驗證方案。
拒絕存取的非驗證使用者。增強的安全性對於請確定您新增所有已驗證的使用者。 Alternativelyr 選取特定的使用者，在 [使用者組] 下，並確定所有使用者會被都移除。

簡化您的痛苦

藉由使用 TLS 保護您的 SharePoint 網站可以是完整的問題。您的防火牆可能無法正確地直接作為反向 Proxy 的流量，或可能執行不良的連結轉譯工作。路由組態不可能在更複雜的拓樸中正確設定。或 AAM 和區域的設定可能與 DNS 或防火牆設定值不符。好消息是，如果您使用多層的方法方法外部安全性，您可以找出問題並加以解決。您可以讓您的生活更簡單，如果您使用 ISA Server FBA] 和 [Windows 驗證。選取適當的拓撲、在 SharePoint 中設定網站，啟用它，在 IIS 中，SSL 一起它所有與 ISA Server，和您有保障透過 TLS 的外部通訊的安全。

Pav Cherny 是 IT 專家兼作者，專攻 Microsoft 共同作業與整合通訊技術。他的出版品包括白皮書、產品手冊和探討 IT 營運和系統管理的書籍。同時 Pav 也是專營管理文件與本土化服務之 Biblioso Corporation 的總裁。

目錄

其他資源