我们目前正在内部运行 MOSS 2007,并且已经运行了大约 12 个月,没有出现重大问题。
现在管理层提出请求,为由来自其他社区组织(比如我们的委员会等)的成员组成的小团体(最初)提供互联网访问权限。
当收到这个请求时,我的第一反应并不是高兴,但我想确保这种担忧是合理的。
我在 TechNet 上阅读了一些有关 SharePoint 安全强化的文档,但我有兴趣了解其他人做了什么。
我曾与另一家已经实施了类似措施的组织交谈过,他们基本上将互联网端口转发到了内部生产 MOSS 服务器。我不太喜欢这种说法。运行 DMZ 类型的配置,在封闭的网络段上使用单独的 Web 前端,是否可取/有必要?这是否比他们的设置更安全?一些来自TechNet 文档考虑到我们目前的网络预算,这实际上并不可行。我已经向管理层表达了我的担忧,但看来它会以某种形式继续进行。
我很想为这些类型的用户运行一个完全隔离的、单独的安装。
我应该担心它吗?
此时,任何想法、评论都将受到热烈欢迎。
答案1
假设这些组织有静态 IP 地址,您可以收紧端口转发规则,仅允许从这些 IP 地址进行外部网络访问。我不确定 Sharepoint 是否能在 DMZ 角色中发挥良好作用,因为与 Active Directory 的后端集成需要您在 LAN 中打几个洞才能使其正常运行。也许有更多 Sharepoint 在 DMZ 设置经验的人可以加入进来。
编辑
经过一番挖掘,发现了微软的外部网规划工具(带有漂亮/清晰的 Visio 图表),希望它能解决您的问题并让您了解您可以/应该做什么: http://technet.microsoft.com/en-us/library/cc262834.aspx
答案2
你可以设置一个UAG 服务器并为他们提供受限制的 AD 帐户并锁定您的 SharePoint 网站。
答案3
如果记忆不错的话,DMZ 上的 IAS 服务器会阻止您在身份验证方面留下额外的漏洞。
您的担心是有道理的,如果这是该组织首次将内部系统暴露给互联网,他们可能还没有为额外的复杂性做好准备……但这与技术知识能为您带来多大帮助无关……