Share via

Разработка топологии фермы экстрасети (Windows SharePoint Services)

  • Статья

Содержание:

  • О средах экстрасети

  • Планирование среды экстрасети

  • Топология с пограничным межсетевым экраном

  • Топология демилитаризованной зоны с двумя межсетевыми экранами

  • Разделение топологии с двумя межсетевыми экранами

Эту статью можно использовать со следующей моделью: Топологии экстрасети для продуктов и технологий SharePoint (на английском языке) (https://go.microsoft.com/fwlink/?linkid=73153&clcid=0x419) (на английском языке).

О средах экстрасети

Среда экстрасети — это частная сеть, безопасно расширенная в общий сегмент данных и процессов организации, к которому имеют удаленный доступ сотрудники, внешние партнеры или клиенты. С помощью экстрасети можно распределить любой тип контента, размещенного приложением Windows SharePoint Services 3.0, в том числе документы, списки, библиотеки, календари, блоги и wiki-страницы.

В следующей таблице описаны преимущества, которые предоставляет экстрасеть для каждой группы.

Удаленные сотрудники

Удаленные сотрудники могут обращаться к корпоративной информации и электронным ресурсам отовсюду, в любое время и из любого места без запроса виртуальной частной сети. К удаленным относятся следующие сотрудники.

  • Сотрудники по сбыту, находящиеся в поездке.

  • Сотрудники, работающие из дома или с сайтов клиентов.

  • Распределенные географически виртуальные группы.

Внешние партнеры

Внешние партнеры могут участвовать в бизнес-процессах и общей работе с сотрудниками организации. Экстрасеть можно использовать для улучшения безопасности данных следующими способами.

  • Применять соответствующие компоненты безопасности и пользовательского интерфейса для изолирования партнеров и разделения внешних данных.

  • Авторизовать партнеров только для тех сайтов и данных, которые необходимы для их участия.

  • Ограничивать просмотр партнерами данных других партнеров.

Можно оптимизировать процессы и сайты для совместной работы с партнерами следующими способами.

  • Разрешить сотрудникам организации и сотрудникам партнера просматривать, изменять, добавлять и удалять контент, чтобы продвигать успешные результаты для обеих организаций.

  • Настроить предупреждения, уведомляющие пользователей, когда вносятся изменения в контент или запускается рабочий процесс.

Заказчики

Обеспечение клиентам доступа к сайтам:

  • обеспечивает анонимный доступ к сведениям о предприятии;

  • позволяет клиентам входить в систему и участвовать в рабочих процессах.

Приложение Windows SharePoint Services 3.0 содержит гибкие параметры для настройки доступа из экстрасети к сайтам. Можно предоставить доступ из Интернета к подгруппам сайтов или ко всему контенту в ферме серверов. Можно разместить контент экстрасети внутри корпоративной сети и сделать его доступным через пограничный брандмауэр или можно изолировать ферму серверов внутри демилитаризованной зоны.

Планирование среды экстрасети

В оставшейся части этой статьи обсуждаются отдельные топологии экстрасети, протестированные с помощью приложения Windows SharePoint Services 3.0. Рассматриваемые здесь топологии помогут понять параметры, доступные в приложении Windows SharePoint Services 3.0, включая обязательные и компромиссные варианты.

Следующие разделы посвящены дополнительным действиям при планировании среды экстрасети.

Планирование технологии межсетевого экрана

Показанная в каждой топологии технология межсетевого экрана является одним из следующих продуктов пакета Microsoft Forefront Edge: сервер Microsoft Internet Security and Acceleration (ISA) Server и Intelligent Application Gateway (IAG) 2007. Дополнительные сведения об этих продуктах Microsoft Forefront Edge см. на следующих ресурсах:

Примечание

Можно использовать другую технологию межсетевого экрана.

IAG Server предоставляет следующие дополнительные возможности:

  • Предотвращение утечки информации: никакие остаточные данные не остаются на клиентском компьютере, и также удаляются все временные файлы, файлы Cookie и кэш.

  • Авторизация с учетом конечной точки и ее состояния: администраторы могут определить политику доступа на основе не только идентификации пользователя и предоставленной информации, но также с учетом состояния клиентского компьютера.

  • Доступ к сайтам SharePoint из веб-клиента Outlook: пользователи могут обращаться к сайтам SharePoint по ссылкам, отправляемым по электронной почте через веб-клиент Outlook. IAG обеспечивает преобразование ссылок в ссылки, связанные с внутренними URL-адресами.

  • Объединенный портал: при входе в систему IAG представляет каждому пользователю список сайтов SharePoint и других приложений, доступных и авторизованных для этого пользователя.

В следующей таблице представлены различия между серверами.

Возможности ISA 2006 IAG 2007

Публикация веб-приложений, использующих HTTPS

X

X

Публикация внутренних мобильных приложений для перемещаемых мобильных устройств

X

X

Брандмауэр уровня 3

X

X*

Поддержка исходящих сценариев

X

X*

Поддержка массивов

X

Локализация консоли глобализации и администрирования

X

Мастера и предопределенные параметры для публикации сайтов SharePoint и Exchange

X

X

Мастера и предопределенные параметры для публикации различных приложений

X

Поддержка служб федерации Active Directory (ADFS)

X

Широкие возможности проверки подлинности (например, с использованием одноразового пароля, на основе форм, или с помощью смарт-карты)

X

X

Защита приложений (брандмауэр веб-приложения)

Обычная

Полная

Определение состояния конечной точки

X

Предотвращение утечки информации

X

Настраиваемая политика доступа

X

Объединенный портал

X

* Поддерживается сервером ISA, поставляемым с IAG 2007.

Планирование проверки подлинности и логической архитектуры

Кроме выбора или конструирования топологии экстрасети необходимо создать стратегию проверки подлинности и логическую архитектуру, чтобы предоставить внешним пользователям доступ к внутренней сети, безопасным сайтам и контенту в ферме серверов. Дополнительные сведения см. в следующих статьях:

Планирование отношений доверия доменов

Если ферма серверов, размещена в демилитаризованной зоне, для этой зоны требуется собственная инфраструктура службы каталогов Active Directory и домен. Как правило, между доменом демилитаризованной зоны и доменом организации отношение доверия не настраивается. Однако, если настроить односторонние доверительные отношения, в которых домен демилитаризованной зоны доверяет корпоративному домену, можно использовать проверку подлинности Windows для проверки подлинности как внутренних, так и удаленных сотрудников с помощью учетных данных корпоративного домена. Кроме того, проверку подлинности сотрудников можно проводить с помощью форм или веб-службы единого входа (SSO). Эти способы можно также применять для проверки подлинности через службу внутренней доменной папки.

В следующей таблице представлены эти способы проверки подлинности, а также указано, требуются ли доверительные отношения.

Сценарий Описание

Проверка подлинности Windows

Если домен демилитаризованной зоны доверяет сетевому домену организации, проверку подлинности внутренних и удаленных сотрудников можно выполнять с помощью их учетных данных в корпоративном домене.

Проверка подлинности на основе форм и службы единого входа

Для проверки подлинности и внутренних, и удаленных сотрудников можно использовать проверку подлинности на основе форм или единый вход, вместо внутренней среды Active Directory. Например, можно использовать единый вход для подключения к службам федерации Active Directory (ADFS). Использование проверки подлинности на основе форм или единого входа *не*требует отношения доверия между доменами.

Однако некоторые возможности Windows SharePoint Services 3.0 могут быть недоступны, в зависимости от поставщика проверки подлинности. Дополнительные сведения о возможностях, на которые может влиять использование проверки подлинности на основе форм или единый вход, см. в разделе Планирование параметров проверки подлинности для веб-приложений (Windows SharePoint Services).

Дополнительные сведения о настройке одностороннего отношения доверия в среде экстрасети см. в разделе Планирование повышения безопасности сред экстрасетей (сервер Windows SharePoint Services).

Планирование доступности

Топологии экстрасети, описанные в этой статье, призваны проиллюстрировать следующее:

  • Местоположение фермы серверов в общей сети.

  • Местоположение каждой серверной роли в среде экстрасети.

Эта статья не предназначена для планирования того, какие серверные роли требуется развернуть или сколько серверов требуется развернуть для каждой роли, чтобы достигнуть избыточности. После определения количества серверов, требуемых для развертывания, используйте следующую статью для планирования топологии каждой фермы серверов: Планирование избыточности (Windows SharePoint Services).

Планирование усиления безопасности

После создания топологии экстрасети используйте следующие ресурсы для планирования усиления безопасности:

Топология с пограничным межсетевым экраном

В этой конфигурации используется обратный прокси-сервер на границе между Интернетом и корпоративной сетью, чтобы перехватить и затем передать дальше запросы на соответствующий веб-сервер, расположенный в интрасети. С помощью набора настраиваемых правил прокси-сервер проверяет наличие разрешения для запрошенных URL-адресов на основе зоны, из которой исходил запрос. Запрошенные URL-адреса затем преобразуются во внутренние URL-адреса. На следующем рисунке показана топология с пограничным межсетевым экраном.

Топология фермы экстрасети — пограничный межсетевой экран

Преимущества

  • Самое простое решение, требующее меньше всего оборудования и настроек.

  • Вся ферма серверов расположена в корпоративной сети.

  • Единая точка данных:

    • Данные расположены в надежной сети.

    • Обслуживание данных происходит в одном месте.

    • Использование одной фермы как для внутренних, так и для внешних запросов гарантирует, что все авторизованные пользователи просматривают тот же контент.

  • Внутренние запросы пользователей не проходят через прокси-сервер.

Недостатки

  • Используется один сетевой экран, отделяющий корпоративную внутреннюю сеть от Интернета.

Топология демилитаризованной зоны с двумя межсетевыми экранами

В топологии демилитаризованной зоны с двумя межсетевыми экранами ферма серверов изолируется в отдельной демилитаризованной зоне, как показано на следующем рисунке.

Топология демилитаризованной зоны с двумя межсетевыми экранами

Эта топология имеет следующие характеристики.

  • Все оборудование и все данные размещаются в демилитаризованной зоне.

  • Роли фермы серверов и серверы инфраструктуры сети могут быть разделены на несколько уровней. Объединение уровней сети может упростить процесс и снизить затраты.

  • Каждый уровень может быть разделен дополнительными маршрутизаторами или брандмауэрами, чтобы разрешить запросы только с отдельных уровней.

  • Запросы из внутренней сети могут быть направлены через внутренний ISA-сервер или маршрутизированы через публичный интерфейс демилитаризованной зоны.

Преимущества

  • Контент изолирован в одной ферме в экстрасети, что упрощает распределение и поддержку контента в интрасети и экстрасети.

  • Доступ внешних пользователей ограничен демилитаризованной зоной.

  • Если экстрасеть подвергается атаке, повреждение потенциально ограничивается затронутым уровнем или демилитаризованной зоной.

  • Используя отдельную инфраструктуру Active Directory, учетные записи внешних пользователей можно создавать без влияния на внутренний корпоративный каталог.

Недостатки

  • Требуется дополнительная инфраструктура сети и настройка.

Разделение топологии с двумя межсетевыми экранами

В этой топологии ферма разделена между демилитаризованной зоной и корпоративными сетями. Компьютеры, работающие под управлением программы базы данных Microsoft SQL Server, размещаются внутри корпоративной сети. Веб-серверы находятся в демилитаризованной зоне. Поисковые серверы могут размещаться и в демилитаризованной зоне, и в корпоративной сети.

Разделенная топология с двумя межсетевыми экранами

На предыдущем рисунке:

  • Поисковый сервер размещен в демилитаризованной зоне. Эти компьютеры отображены синим цветом внутри пунктирной линии.

  • Поисковые серверы дополнительно можно развернуть внутри корпоративной сети с серверами базы данных. Этот вариант отображен компьютерами серого цвета внутри пунктирной линии. Если поисковые серверы разворачиваются внутри корпоративной сети с серверами базы данных, также потребуется среда Active Directory для поддержки этих серверов (показана компьютерами серого цвета внутри корпоративной сети).

Если ферма серверов разделена между демилитаризованной зоной и корпоративной сетью с серверами базы данных, размещенными внутри корпоративной сети, требуется отношение доверия доменов, если для доступа к серверу SQL используются учетные записи Windows. В этом сценарии домен демилитаризованной зоны должен доверять корпоративному домену. Если используется проверка подлинности SQL, отношение доверия доменов не требуется. Дополнительные сведения о настройке учетных записей для этой топологии см. в главе "Отношения доверия доменов" в статье: Планирование повышения безопасности сред экстрасетей (сервер Windows SharePoint Services).

Чтобы оптимизировать производительность поиска и обход, поместите роль поискового сервера внутри корпоративной сети с серверами базы данных. Можно также добавить роль веб-сервера к поисковому серверу внутри корпоративной сети и настроить этот веб-сервер для использования специально ролью поиска для обхода контента. Если веб-серверы размещаются в демилитаризованной зоне, и роль поиска — внутри корпоративной сети, необходимо настроить одностороннее отношение доверия, в котором домен демилитаризованной зоны доверяет домену корпоративной сети. Односторонние отношения доверия требуются в данном сценарии для поддержки связи между серверами внутри фермы, независимо от того, используется проверка подлинности Windows или SQL для доступа на сервер SQL.

Преимущества

К преимуществам разделения топологии с двумя межсетевыми экранами относят следующие:

  • Компьютеры, работающие под управлением SQL Server, не размещены внутри демилитаризованной зоны.

  • Компоненты фермы внутри корпоративной сети и в демилитаризованной зоне могут распределять одни и те же базы данных.

  • Благодаря отдельной инфраструктуре Active Directory, внешние учетные записи пользователей можно создавать без влияния на внутренний корпоративный каталог.

Недостатки

  • Значительно возрастает сложность решения.

  • Злоумышленники, атакующие ресурсы демилитаризованной зоны, могут получить доступ к контенту фермы, хранящемуся в корпоративной сети, с помощью учетных записей фермы серверов.

  • Связи внутри фермы, как правило, разделены на два домена.

Загрузить эту книгу

Для упрощения чтения и печати этот раздел включен в следующие загружаемые книги:

Полный список доступных книг см. в разделе Загружаемые книги для служб Windows SharePoint Services.