规划服务器场内的安全通信 (Windows SharePoint Services)

本文内容：

• 规划服务器到服务器的通信

• 规划客户端到服务器通信

• 规划使用 SSL

根据本文来规划服务器场安全性。本文提供有关保护服务器到服务器的通信以及客户端到服务器通信的指南。

本文中的任务适用于下列安全环境：

• 内部 IT 宿主环境

• 外部安全协作

• 外部匿名访问

规划服务器到服务器的通信

如果服务器没有位于物理安全的数据中心（在其中可忽略网络窃听威胁）内，则必须使用加密的通信通道来保护服务器之间发送的数据。

在 Windows SharePoint Services 3.0 中，服务器场中的服务器到服务器的通信很广泛。保护此通信有助于确保敏感数据的安全，还可以帮助保护服务器不会受到恶意攻击或无意威胁。

下图演示场中的服务器之间的几类常见通信事务。

场中的服务器之间的常见通信事务包括：

• 配置更改   前端 Web 服务器将与配置数据库进行通信以便传达场设置的配置更改。

• 更改请求   有关对网站内的内容进行添加、删除、修改或查看的用户请求将直接发送到内容数据库。

• 搜索请求   前端 Web 服务器首先与搜索服务器进行通信以生成搜索查询的结果。紧接着，前端 Web 服务器与内容数据库进行通信以满足用户对搜索结果中的特定文档的请求。

• 索引   索引组件通过前端 Web 服务器进行通信以便对内容数据库中的内容进行爬网并建立索引。

Internet 协议安全性 (IPsec) 和安全套接字层 (SSL) 都可用于通过加密通信来帮助保护服务器之间的通信。这些方法中的每一种方法都很有效。选择使用哪一种方法，取决于要保护的特定通信通道及与组织最相关的利弊因素。

IPsec

通常，建议使用 IPsec 来保护两个服务器之间的通信通道，并限制可与另一台计算机进行通信的计算机。例如，可以通过建立一种策略来帮助保护数据库服务器，此策略只允许来自受信任的客户端计算机（如应用程序服务器或 Web 服务器）的请求。还可以限制与特定 IP 协议和 TCP/UDP 端口的通信。

根据服务器场的网络要求和建议，使用 IPsec 是一个很好的选择，因为：

• 所有服务器都包含在物理 LAN 上（为了提高 IPsec 性能）。

• 为服务器分配了静态 IP 地址。

还可以在受信任的 Windows Server 2003 或 Windows 2000 Server 域之间使用 IPsec。例如，可以使用 IPsec 来保护外围网络中的 Web 服务器或应用程序服务器的通信，此外围网络将连接到在内部网络上运行 Microsoft SQL Server 的计算机。有关详细信息，请参阅 Windows Server 2003 部署指南（该链接可能指向英文页面）(https://go.microsoft.com/fwlink/?linkid=76095&clcid=0x804)（该链接可能指向英文页面）中的选择 IPSec 身份验证方法（该链接可能指向英文页面）(https://go.microsoft.com/fwlink/?linkid=76093&clcid=0x804)（该链接可能指向英文页面）。

有关为 IPsec 推荐的环境的详细信息，请参阅 Windows Server 2003 部署指南（该链接可能指向英文页面）(https://go.microsoft.com/fwlink/?linkid=76095&clcid=0x804)（该链接可能指向英文页面）中的确定 IPSec 的需求（该链接可能指向英文页面）(https://go.microsoft.com/fwlink/?linkid=76094&clcid=0x804)（该链接可能指向英文页面）。

SSL

有关使用 SSL 的一般建议是当需要对特定应用程序而不是计算机上运行的所有应用程序和服务进行通道保护时使用此加密方法。SSL 必须由单独的应用程序实现。因此，不能使用 SSL 来加密两台主机之间的所有通信。

此外，SSL 不如 IPsec 灵活，因为它只支持通过公钥证书进行的身份验证。但是，SSL 具有几个明显的优点。最明显的优点是，SSL 受多种服务器和客户端计算机支持，并且成熟的标准实际已消除互操作性问题。

为 SSL 考虑的方案

在以下几种方案中，使用 SSL 是一个不错的选择：

• 管理网站   通过使用 SSL 可以保护管理中心网站和共享服务管理网站。

• 内容部署   内容部署过程将文件从创作或暂存服务器场中的服务器上的一个网站目录复制到发布服务器场中的一台或多台服务器上匹配的网站目录中。在此方案中，如果服务器场位于不同的网络区域中，或者如果存在大量要部署的内容或大量要对其部署内容的服务器，则使用 IPsec 可能不切实际。SSL 可用于针对这些特定通信事务的安全通信。

• Intrafarm 共享服务提供程序 (SSP)   如果子场使用的是来自父场的共享服务，则将在场之间共享敏感数据。

规划客户端到服务器通信

保护所有客户端到服务器通信可能不切实际。但是，有几种用于调整保护服务器场中的客户端计算机和服务器之间的通信时所需的额外配置的方案：

• 与合作伙伴的安全协作   合作伙伴访问并参与 Extranet 环境中的应用程序。

• 远程员工访问    员工远程访问内部数据。

• 客户访问或提供敏感数据   客户登录并提供或获取对敏感数据的访问权。例如，客户可能需要登录到 Internet 新闻网站或提供个人信息以完成业务事务。

• 基本身份验证或表单身份验证   如果使用这些身份验证方法中的任一种方法，则将以明文形式发送凭据。至少会保护登录页的客户端到服务器通信。

当必须保护敏感信息时，通常建议使用 SSL 来保护用户和服务器之间的通信。可以将 SSL 配置为要求服务器身份验证或同时要求服务器身份验证和客户端身份验证。

规划使用 SSL

SSL 会降低网络的性能。有几条常见准则可用于优化使用 SSL 的页面。首先，仅对需要 SSL 的页面使用 SSL。这包括带有或捕获敏感数据（如密码或其他个人数据）的页面。仅当满足下列条件时才使用 SSL：

• 希望对页面数据进行加密。

• 希望确保向其发送数据的服务器是预期的服务器。

对于必须在其中使用 SSL 的页面，请遵循以下准则：

• 使页面大小尽可能的小。

• 避免使用具有较大文件大小的图形。如果使用图形，请使用具有较小文件大小和较低分辨率的图形。

下载此书籍

本主题包含在以下可下载书籍内，以方便您阅读和打印：

• Windows SharePoint Services 3.0 的规划和体系结构 - 第 2 部分（该链接可能指向英文页面）

• Windows SharePoint Services 3.0 的安全性（该链接可能指向英文页面）

有关可下载书籍的完整列表，请参阅 Windows SharePoint Services 的可下载书籍（该链接可能指向英文页面）。