익스트라넷 팜 토폴로지 디자인(Windows SharePoint Services)

  • 아티클

업데이트: 2009-04-23

이 문서의 내용

  • 익스트라넷 환경 정보

  • 익스트라넷 환경 계획

  • 경계면 방화벽 토폴로지

  • 연속 경계 토폴로지

  • 분할 연속 토폴로지

이 문서는 SharePoint 제품 및 기술용 익스트라넷 토폴로지 (영문)(https://go.microsoft.com/fwlink/?linkid=73153\&clcid=0x412) 모델과 함께 사용할 수 있습니다.

익스트라넷 환경 정보

익스트라넷 환경은 조직의 정보 또는 프로세스 일부를 원격 직원, 외부 파트너 또는 고객과 공유하기 위해 안전하게 확장된 개인 네트워크입니다. 익스트라넷을 사용하면 문서, 목록, 라이브러리, 일정, 블로그, Wiki 등 Windows SharePoint Services 3.0에서 호스팅하는 모든 콘텐츠 형식을 공유할 수 있습니다.

다음 표에서는 익스트라넷이 각 그룹에 제공하는 이점에 대해 설명합니다.

원격 직원

원격 직원은 VPN(가상 사설망)이 없어도 언제 어디서나 회사 정보 및 전자 리소스에 액세스할 수 있습니다. 원격 직원의 예는 다음과 같습니다.

  • 출장이 잦은 영업 사원

  • 재택 직원 또는 고객사에서 근무하는 직원

  • 여러 지역에 분산되어 있는 가상 팀

익스트라넷 파트너

익스트라넷 파트너는 비즈니스 프로세스에 참가하고 회사 직원과 공동 작업을 수행할 수 있습니다. 익스트라넷을 사용하면 다음과 같은 방식으로 데이터 보안을 향상시킬 수 있습니다.

  • 적절한 보안 및 사용자 인터페이스 구성 요소를 적용하여 파트너를 격리하고 내부 데이터를 분리합니다.

  • 파트너가 작업에 참여하는 데 필요한 사이트 및 데이터만 사용할 수 있도록 권한을 부여합니다.

  • 파트너가 다른 파트너의 데이터를 볼 수 없도록 차단합니다.

다음과 같은 방식으로 파트너 공동 작업 프로세스 및 사이트를 최적화할 수 있습니다.

  • 회사 직원과 파트너의 직원이 콘텐츠를 보고 변경하고 추가하고 삭제할 수 있도록 하여 양측 회사 모두 성공적인 결과를 얻을 수 있도록 합니다.

  • 콘텐츠가 변경될 경우 사용자에게 알리거나 워크플로를 시작하기 위한 알림을 구성합니다.

고객

고객이 사이트를 사용할 수 있도록 설정하면 다음이 가능해집니다.

  • 비즈니스 관련 정보에 대한 익명 액세스를 제공합니다.

  • 클라이언트가 로그온하여 워크플로에 참가할 수 있도록 허용합니다.

Windows SharePoint Services 3.0에서는 사이트에 대한 익스트라넷 액세스를 구성하는 데 사용할 수 있는 유동적인 옵션을 제공합니다. 서버 팜의 사이트 하위 집합에 대해 인터넷 연결 액세스를 제공할 수도 있고, 인터넷에서 서버 팜의 모든 콘텐츠에 액세스할 수 있도록 지정할 수도 있습니다. 회사 네트워크 내에서 익스트라넷 콘텐츠를 호스팅하여 경계면 방화벽을 통해 사용하도록 하거나, 경계 네트워크 내에서 서버 팜을 격리할 수 있습니다.

익스트라넷 환경 계획

이 문서의 나머지 부분에서는 Windows SharePoint Services 3.0을 사용하여 테스트한 특정 익스트라넷 토폴로지에 대해 설명합니다. 이 문서에서 설명하는 토폴로지를 통해 요구 사항 및 장단점을 비롯하여 Windows SharePoint Services 3.0에서 사용할 수 있는 옵션을 이해할 수 있습니다.

다음 섹션에서는 익스트라넷 환경의 추가 계획 작업에 대해 중점적으로 설명합니다.

네트워크 경계면 기술 계획

각 토폴로지에 나와 있는 네트워크 경계면 기술은 Microsoft Forefront Edge 제품군에 속한 Microsoft Internet Security and Acceleration(ISA) Server 및 Intelligent Application Gateway(IAG) 2007 제품 중 하나 또는 모두를 나타냅니다. 이러한 Microsoft Forefront Edge 제품에 대한 자세한 내용은 다음 리소스를 참조하십시오.

참고

이 기술 대신 다른 네트워크 경계면 기술을 사용해도 됩니다.

IAG Server에서는 다음과 같은 기능을 추가로 제공합니다.

  • 정보 누출 방지: 클라이언트 컴퓨터에 아무런 흔적이 남지 않으며 캐시, 임시 파일 및 쿠키가 모두 삭제됩니다.

  • 끝점 상태 기반 인증: 관리자가 사용자의 ID와 노출된 정보를 기반으로 액세스 정책을 정의할 수 있을 뿐만 아니라 클라이언트 컴퓨터의 조건에 기반해서도 액세스 정책을 정의할 수 있습니다.

  • Outlook Web Access에서 SharePoint 사이트 액세스: Outlook Web Access를 통해 전자 메일로 보낸 링크를 사용하여 SharePoint 사이트에 액세스할 수 있습니다. IAG에서는 내부 URL을 가리키는 링크에 대한 링크 변환 기능을 제공합니다.

  • 통합 포털: 사용자가 로그온할 때 해당 사용자가 사용할 수 있고 인증되어 있는 SharePoint 사이트 및 기타 응용 프로그램의 목록이 IAG를 통해 각 사용자에게 표시됩니다.

다음 표에는 각 서버 간 차이점이 요약되어 있습니다.

기능 ISA 2006 IAG 2007

HTTPS를 사용하여 웹 응용 프로그램 게시

X

X

로밍 모바일 장치에 내부 모바일 응용 프로그램 게시

X

X

레이어 3 방화벽

X

X*

아웃바운드 시나리오 지원

X

X*

배열 지원

X

세계화 및 관리 콘솔 지역화

X

SharePoint 사이트와 Exchange 게시를 위한 마법사 및 미리 정의된 설정

X

X

여러 가지 응용 프로그램 게시를 위한 마법사 및 미리 정의된 설정

X

ADFS(Active Directory Federation Services) 지원

X

다양한 인증(예: OTP, 폼 기반 인증, 스마트 카드)

X

X

응용 프로그램 보호(웹 응용 프로그램 방화벽)

기본

전체

끝점 상태 감지

X

정보 누출 방지

X

세분화된 액세스 정책

X

통합 포털

X

* IAG 2007에 포함된 ISA에서 지원합니다.

인증 및 논리 아키텍처 계획

익스트라넷 토폴로지를 선택하거나 디자인하는 것 외에도 내부 네트워크 밖의 지정된 사용자에게 액세스를 허용하고 서버 팜의 사이트와 콘텐츠를 안전하게 보호하기 위한 인증 전략 및 논리 아키텍처도 디자인해야 합니다. 자세한 내용은 다음 문서를 참조하십시오.

도메인 트러스트 관계 계획

서버 팜이 경계 네트워크 내에 있는 경우 이 네트워크에는 자체 Active Directory 디렉터리 서비스 인프라 및 도메인이 필요합니다. 일반적으로 경계 도메인과 회사 도메인은 서로를 신뢰하도록 구성되지 않습니다. 그러나 경계 도메인이 회사 도메인을 신뢰하는 단방향 트러스트를 구성하는 경우 Windows 인증을 사용하여 회사 도메인 자격 증명을 통해 내부 직원과 외부 직원을 모두 인증할 수 있습니다. 또는 폼 인증이나 웹 SSO(Single Sign-On)를 사용하여 직원을 인증할 수도 있습니다. 이러한 방법을 사용하면 내부 도메인 디렉터리 서비스에 대한 인증도 가능합니다.

다음 표에는 이러한 인증 옵션에 대한 간단한 설명과 트러스트 관계 필요 여부가 나와 있습니다.

시나리오 설명

Windows 인증

경계 도메인이 회사 네트워크 도메인을 신뢰하는 경우에는 회사 도메인 자격 증명을 사용하여 내부 및 외부 직원을 모두 인증할 수 있습니다.

폼 인증 및 웹 SSO

폼 인증과 웹 SSO를 사용하여 내부 Active Directory 환경에 대해 내부 직원과 외부 직원을 모두 인증할 수 있습니다. 예를 들어 웹 SSO를 사용해 ADFS(Active Directory Federation Services)에 연결할 수 있습니다. 폼 인증이나 웹 SSO를 사용하는 데 도메인 간의 트러스트 관계는 필요하지 않습니다.

그러나 인증 공급자에 따라서는 Windows SharePoint Services 3.0의 몇 가지 기능을 사용하지 못할 수도 있습니다. 폼 인증 또는 웹 SSO를 사용하는 경우 영향을 받을 수 있는 기능에 대한 자세한 내용은 웹 응용 프로그램의 인증 설정 계획(Windows SharePoint Services)을 참조하십시오.

익스트라넷 환경에서 단방향 트러스트 관계를 구성하는 방법에 대한 자세한 내용은 익스트라넷 환경을 위한 보안 강화 계획(Windows SharePoint Services)을 참조하십시오.

가용성 계획

이 문서에서 설명하는 익스트라넷 토폴로지는 다음을 보여 주기 위한 것입니다.

  • 전체 네트워크 내의 서버 팜 위치

  • 익스트라넷 환경 내의 각 서버 역할 위치

이 문서에서는 배포해야 하는 서버 역할이나 중복을 구현하기 위해 각 역할에 대해 배포해야 하는 서버 수를 계획하는 데 도움이 되는 정보는 제공하지 않습니다. 환경에 필요한 서버 팜 수를 결정한 후에는 중복 계획(Windows SharePoint Services) 문서를 참조하여 각 서버 팜에 대한 토폴로지를 계획하십시오.

보안 강화 계획

익스트라넷 토폴로지를 디자인한 후에는 다음 리소스를 참조하여 보안 강화를 계획합니다.

경계면 방화벽 토폴로지

이 구성에서는 인터넷과 회사 네트워크 사이의 경계에서 역방향 프록시 서버를 사용하여 요청을 가로챈 다음 인트라넷의 해당 웹 서버로 전달합니다. 프록시 서버는 구성 가능한 규칙 집합을 사용하여 요청이 생성된 영역을 기반으로 요청된 URL이 허용되는지를 확인합니다. 그런 후에 요청된 URL은 내부 URL로 변환됩니다. 다음 그림에서는 경계면 방화벽 토폴로지를 보여 줍니다.

익스트라넷 팜 토폴로지 - 경계면 방화벽

장점

  • 최소한의 하드웨어 및 구성만 있으면 되는 가장 간단한 솔루션입니다.

  • 전체 서버 팜이 회사 네트워크 내에 있습니다.

  • 다음과 같이 데이터 지점이 단일화됩니다.

    • 데이터가 신뢰할 수 있는 네트워크 내에 있습니다.

    • 데이터 유지 관리를 단일 위치에서 수행할 수 있습니다.

    • 내부 및 외부 요청에 단일 팜을 사용하므로 인증된 모든 사용자에게 같은 콘텐츠가 표시됩니다.

  • 내부 사용자 요청이 프록시 서버를 통해 전달되지 않습니다.

단점

  • 단일 방화벽이 회사 내부 네트워크와 인터넷을 분리합니다.

연속 경계 토폴로지

연속 경계 토폴로지는 다음 그림과 같이 서버 팜을 별도의 경계 네트워크로 격리합니다.

연속 경계 토폴로지

이 토폴로지의 특징은 다음과 같습니다.

  • 모든 하드웨어 및 데이터가 경계 네트워크에 상주합니다.

  • 서버 팜 역할 및 네트워크 인프라 서버를 여러 계층으로 분리할 수 있습니다. 네트워크 계층을 결합하면 구조가 단순해지고 비용이 줄어듭니다.

  • 추가 라우터 또는 방화벽을 사용해 각 계층을 분리하면 특정 계층의 요청만 허용할 수 있습니다.

  • 내부 네트워크의 요청을 인터넷 연결 ISA 서버를 통해 전달하거나 경계 네트워크의 공용 인터페이스를 통해 라우팅할 수 있습니다.

장점

  • 콘텐츠가 익스트라넷의 단일 팜으로 격리되므로 인트라넷과 익스트라넷에 걸친 콘텐츠 공유와 유지 관리가 간편해집니다.

  • 외부 사용자 액세스가 경계 네트워크로 격리됩니다.

  • 익스트라넷이 손상되는 경우 영향을 받는 계층이나 경계 네트워크로 손상 범위를 제한할 수 있습니다.

  • 별도의 Active Directory 인프라를 사용하면 내부 회사 디렉터리에 영향을 주지 않고도 외부 사용자 계정을 만들 수 있습니다.

단점

  • 네트워크 인프라 및 구성이 추가로 필요합니다.

분할 연속 토폴로지

이 토폴로지는 경계 네트워크와 회사 네트워크 간에 팜을 분할합니다. Microsoft SQL Server 데이터베이스 소프트웨어를 실행하는 컴퓨터는 회사 네트워크 내에서 호스팅되며, 웹 서버는 경계 네트워크 내에 배치됩니다. 검색 서버는 경계 네트워크나 회사 네트워크 중 하나에서 호스팅할 수 있습니다.

연속 토폴로지 분할

다음은 위 그림에 대한 설명입니다.

  • 검색 서버는 경계 네트워크에서 호스팅됩니다. 이 옵션은 파선 안쪽의 파란색 서버로 표시되어 있습니다.

  • 필요한 경우 검색 서버를 데이터베이스 서버가 포함된 회사 네트워크 내에 배포할 수 있습니다. 이 옵션은 파선 안쪽의 회색 서버로 표시되어 있습니다. 데이터베이스 서버가 포함된 회사 네트워크 내에 검색 서버를 배포하는 경우에는 이들 서버(회사 네트워크 내에 회색 서버로 표시되어 있음)를 지원하는 Active Directory 환경도 필요합니다.

서버 팜이 경계 네트워크와 회사 네트워크로 분할되어 있고 회사 네트워크에 데이터베이스 서버가 있는 경우, Windows 계정을 사용하여 SQL Server에 액세스할 때는 도메인 트러스트 관계가 필요합니다. 이 경우 경계 도메인이 회사 도메인을 신뢰해야 합니다. SQL 인증을 사용하는 경우에는 도메인 트러스트 관계가 필요하지 않습니다. 이 토폴로지에 대해 계정을 구성하는 방법에 대한 자세한 내용은 익스트라넷 환경을 위한 보안 강화 계획(Windows SharePoint Services) 문서의 "도메인 트러스트 관계"를 참조하십시오.

검색 성능 및 크롤링을 최적화하려면 데이터베이스 서버가 포함된 회사 네트워크 내에 검색 서버 역할을 배치하십시오. 회사 네트워크 내의 검색 서버에 웹 서버 역할을 추가하고 이 웹 서버를 콘텐츠 크롤링용 검색 역할에서만 사용하도록 구성할 수도 있습니다. 웹 서버를 경계 네트워크에 배치하고 검색 역할은 회사 네트워크 내에 배치하는 경우에는 경계 네트워크 도메인이 회사 네트워크 도메인을 신뢰하는 단방향 트러스트 관계를 구성해야 합니다. 이 경우 SQL Server에 액세스하는 데 Windows 인증을 사용하든 SQL 인증을 사용하든 관계없이, 팜 내에서 서버 간 통신을 지원하는 데 단방향 트러스트 관계가 필요합니다.

장점

분할 연속 토폴로지의 장점은 다음과 같습니다.

  • SQL Server를 실행하는 컴퓨터가 경계 네트워크 내에서 호스팅되지 않습니다.

  • 회사 네트워크와 경계 네트워크 내에 있는 팜 구성 요소가 같은 데이터베이스를 공유할 수 있습니다.

  • 별도의 Active Directory 인프라를 사용하면 내부 회사 디렉터리에 영향을 주지 않고도 외부 사용자 계정을 만들 수 있습니다.

단점

  • 솔루션이 매우 복잡해집니다.

  • 경계 네트워크 리소스를 손상시키는 침입자가 서버 팜 계정을 사용하여 회사 네트워크에 저장되어 있는 팜 콘텐츠에 대한 액세스 권한을 얻을 수 있습니다.

  • 팜 간 통신이 보통 두 도메인 간에 분할됩니다.

이 문서의 다운로드

이 항목은 다운로드 가능한 다음 문서에도 포함되어 있어 더 쉽게 읽고 인쇄할 수 있습니다.

사용 가능한 문서의 전체 목록은 다운로드 가능한 Windows SharePoint Services 관련 문서 (영문)를 참조하십시오.