规划外部安全协作环境的安全性 (Windows SharePoint Services)
本文内容:
保护后端服务器
保护客户端-服务器通信的安全
保护管理中心网站的安全
保护设计清单的安全
规划服务器角色的安全强化
规划 Windows SharePoint Services 功能的安全配置
外部安全环境的安全指导所针对的目标是,在 Extranet 网站中承载内容以便使那些无法对企业网络进行常规访问的参与者参与网站内容的工作。外部合作伙伴可以利用此环境参与相应的工作流程或与组织的员工在网站内容方面协同合作。
对于外部安全协作环境,存在若干独特的建议。某些建议可能并非对所有解决方案都可行。
保护后端服务器
外部安全协作需要“面向 Internet”的服务器。您可以通过保护后端服务器限制来自 Internet 的访问:
保护数据库服务器 至少要在前端 Web 服务器和承载数据库的服务器之间设置一道防火墙。某些环境规定数据库服务器应放在内部网络中而不是直接放在 Extranet 环境中。
保护索引角色 索引组件通过前端 Web 服务器进行通信,从而对网站中的内容进行爬网。若要保护此通信通道,请考虑配置一个由一个或多个索引服务器使用的专用前端 Web 服务器。这样就可以将爬网通信隔离到用户无法访问的前端 Web 服务器。此外,还可以配置 Internet Information Services (IIS) 来对 SiteData.asmx(爬网程序 SOAP 服务)加以限制,从而仅允许索引服务器(或其他爬网程序)访问该服务。提供专用于内容爬网的前端 Web 服务器还可以通过降低主前端 Web 服务器上的负载来提高性能,因而能够改善用户体验。
保护客户端-服务器通信的安全
Extranet 环境中的安全协作依赖于客户端计算机和服务器场环境之间的安全通信。如果适用,请使用安全套接字层 (SSL) 来保护客户端计算机和服务器之间的安全通信。若要提高安全性,请考虑以下方面:
要求客户端计算机拥有证书。SSL 可以在不需要客户端证书的情况下实施。您可以要求所有客户端计算机都要拥有证书,以此提高外部协作的安全。
使用 IPsec。如果客户端计算机支持 IPsec,您可以配置 IPsec 规则,以达到比 SSL 更高的安全级别或安全粒度。
保护管理中心网站的安全
由于外部用户可以访问网络区域,因此确保管理中心网站的安全以阻止外部访问以及保护内部访问的安全是非常重要的:
确保管理中心网站不在前端 Web 服务器上。
阻止对管理中心网站的外部访问。通过在前端 Web 服务器和承载管理中心网站的服务器之间设置一道防火墙可以实现这一点。
使用 SSL 配置管理中心网站。这可以确保从内部网络到管理中心网站的通信是安全的。
保护设计清单的安全
将此设计清单与规划服务器场安全性 (Windows SharePoint Services) 中的设计清单结合使用。
拓扑结构
[ ] |
至少在前端 Web 服务器与应用程序和数据库服务器之间设置一道防火墙,以保护后端服务器。 |
[ ] |
规划专用的前端 Web 服务器以便用于内容爬网。不要在最终用户前端 Web 轮作中包括此前端 Web 服务器。 |
逻辑体系结构
[ ] |
阻止对管理中心网站的访问并为此网站配置 SSL。 |
[ ] |
通过使用 SSL 配置 SSP 管理网站,在专用 Web 应用程序中承载这些网站以及配置策略以拒绝对这些网站的外部访问,可以保护这些网站的安全。 |
规划服务器角色的安全强化
下表介绍了外部安全协作环境的其他强化建议。
| 组件 | 建议 |
|---|---|
端口 |
阻止对管理中心网站端口的外部访问。 |
IIS |
限制 SiteData.asmx(爬网程序 SOAP 服务),仅允许索引服务器(或其他爬网程序)访问该服务。 |
规划 Windows SharePoint Services 功能的安全配置
下表介绍了用于保护 Windows SharePoint Services 3.0 功能安全的其他建议。这些建议适用于外部安全协作环境。
| 功能或区域 | 建议 |
|---|---|
身份验证 |
对已经过身份验证的用户使用 SSL。这并不适用于浏览网站的匿名用户。 |
授权 |
使用安全策略限定外部用户的权限(创建拒绝策略以限制外部用户可以执行的操作)。 |
下载此书籍
本主题包含在以下可下载书籍内,以方便您阅读和打印:
有关可下载书籍的完整列表,请参阅 Windows SharePoint Services 的可下载书籍(该链接可能指向英文页面)。