Ноэл М., Спенс К. - Microsoft SharePoint. Полное руководство - 2011

НА ЗАМЕТКУ -

Организации с устаревшим ISA Server 2006 также могут защищать входящий трафик SharePoint 2010, т.к. этот продукт все еще поддерживается. Шаги для защиты сайта SharePoint с ISA Server 2006 почти совпадают с шагами, описанными для Forefront TMG. Просто выполняйте приведенные здесь инструкции или обратитесь к книге Microsoft SharePoint 2007. Полное руководство (ИД “Вильямс”, 2008 г.), где описан процесс именно для ISA Server 2006.

Forefront TMG для защиты реализации SharePoint можно развернуть в разных вариантах: периферийный брандмауэр, внутренний брандмауэр или выделенный обратный прокси-сервер. Во всех этих вариантах Forefront TMG защищает трафик SharePoint: он “прикидывается” самим сервером SharePoint, проверяет трафик, направленный серверу SharePoint, на наличие вредоносного кода, а затем заново упаковывает трафик и посылает его дальше, как показано на рис. 14.1.

Forefront TMG обеспечивает такую защиту с помощью правила публикации сайта SharePoint, которое автоматически создает и настраивает слушатель на сервере Forefront TMG. Слушатель представляет собой компонент Forefront TMG, который прослушивает трафик, направленный в конкретный IP-адрес и обрабатывает этот трафик для запрашивающего клиента, как будто это сам сервер. Например, слушатель SharePoint на Forefront TMG отвечает на HTTP/H i T PS-запросы к SharePoint, проверяя их на наличие вредоносного кода, а затем снова упаковывая и направляя уже на сервер SharePoint. Слушатель делает неотличимым для клиента сервер Forefront TMG и непосредственно сервер SharePoint.

Forefront TMG, наряду с Forefront UAG, является также одним из немногих продуктов, которые могут защищать веб-трафик сквозным SSL-шифрованием. Для этого он использует собственный сертификат сервера SharePoint, чтобы снова зашифровывать трафик перед его отправкой дальше. При этом “черный ящик” SSL-трафика оказывается доступным для анализа на наличие вредоносных кодов и вирусов на уровне приложений, а затем заново шифруется для исключения неавторизованного прюсмотра трафика. Без возможности просмотра SSL-трафика вредоносный код, отправленный на сервер SharePoint, может просто укрыться среди зашифрованного трафика и пройти через традиционные бр>андмауэры.

В этой главе рассматривается один распространенный вариант применения сервер» Forefront TMG: защита семейства сайтов SharePoint (в данном примере home. companyabc. сот) с помощью Forefront TMG. Приведенные здесь шаги относятся именно к такому варианту, хотя Forefront TMG можно при необходимости задействовать и для многих других ситуаций.

7. Контроллер домена проверяет полномочия и возвращает утвердительный

5. Клиент видит веб-страницу с формой для аутентификации, отправленную Forefront TMG, считает ее отправленной

и проверяет данные в нем на наличие кодов проникновения и атак.

4. Forefront TMG отвечает на HTTP-запрос к внешнему интерфейсу 63.240.93.136 и

Рис. 14.1. Концептуальная схема процесса защиты сайта SharePoint с помощью Forefront TMG

Прежде чем разрешить внешний доступ к сайту, необходимо создать отображение альтернативного доступа (alternate access mapping — ААМ) для конкретного веб-приложения. ААМ представляет собой значение заголовка хоста (наподобие https://portal. companyabc.com, http://server^, https://home, companyabc. com и т.д.), которое можно повсеместно применять к сайту по всем ссылкам. При его отсутствии внешние клиенты не смогут обращаться к внутренним ссылкам.

Чтобы настроить ААМ для нашего примера home. companyabc. com, выполните в вебприложении следующие шаги:

1. Откройте центр администрирования SharePoint.

2. Щелкните на ссылке System Settings (Параметры системы) в левой части экрана.

3. В разделе Farm Management (Управление фермой) щелкните на ссылке Configure Alternate Access Mappings (Настройка отображений альтернативного доступа).

4. Щелкните на кнопке Edit Public URLs (Правка общедоступных URL).

5. В разделе Alternate Access Mapping Collection (Семейство отображений альтернативного доступа) выберите семейство ААМ, соответствующее веб-приложению для адреса heme. companyabc. com.

6. В поле Internet (Интернет, рис. 14.2) введите необходимый ААМ, начинающийся с https://. В нашем примере надо ввести https://home.companyabc.com. Если к веб-приложению нужно будет обращаться по другим именам, введите здесь все возможные имена. Щелкните на кнопке Save (Сохранить).

'Ф

lijit

*

Iltd

STwePoint2mo Central Admtmstrabon ► Edit Pubbc Zone URLs

Wtetn*i* Accfs Wa pp^tf Cslertor SKar«f»oint - 80 -

EnfcteptfcU4|TClBattei.rtprttnatftrW'W)'tr i •

Puc. 14.2. Создание отображения альтернативного доступа для внешнего опубликованного использования

7. Просмотрите на всякий случай список отображений, а затем закройте центр администрирования SharePoint.