我们目前正在内部运行MOSS 2007,并且已经这么做了大约12个月,没有大问题。
现在pipe理层要求从互联网上为最初由其他社区组织成员组成的小组提供访问权限。 委员会等。
当我提出这个请求时,我的第一反应并不是快乐,但是我想确保理解是有保证的。
我已阅读TechNet上关于SharePoint安全强化的一些文档,但我很想知道其他人做了什么。
我已经和另外一个已经实施过类似的组织进行了交谈,他们已经从互联网转移到了他们的内部生产MOSS服务器。 我真的不喜欢这个声音。 运行一个DMZtypes的configuration是否可以build议/需要,在一个包含的网段上有一个单独的Web前端? 这甚至会给我提供比他们的设置更高的安全性吗? 根据我们目前的networking预算, TechNet doc中的一些configuration并不是真的可行。 我已经向pipe理层提出了我的担忧,但似乎会以某种forms进行。
我很想为这些types的用户运行一个完全孤立的,单独的安装。
我应该甚至关心它吗?
任何想法,评论将在这一点上最受欢迎。
假设这些组织具有静态IP地址,则可以加强端口转发规则,以允许从这些IP地址访问Extranet。 我不确定Sharepoint在DMZ中扮演了什么angular色,因为与Active Directory的后端集成将要求您将几个漏洞放回您的局域网中以使其正常工作。 也许在DMZ设置体验中有更多Sharepoint的人可以参加。
编辑
做了一些挖掘,发现微软的外联网规划工具(有一个很好的/清晰的Visio图),应该有希望解决您的问题,并给你一个你可以/应该做什么的想法: http : //technet.microsoft.com/en-us /library/cc262834.aspx
您可以设置一个UAG服务器 ,为他们提供受限的AD帐户并locking您的SharePoint网站。
如果内存提供服务,DMZ上的IAS服务器将阻止您为validation添加额外的漏洞。
如果这是该组织首次将内部系统暴露给互联网,那么他们可能没有为复杂性做好准备……但是这样做会偏离技术专长将会给你带来多大的影响……