Поддерживаемые топологии экстрасети Project Server 2007

  • Статья

Обновлено: Февраль 2010 г.

 

Последнее изменение раздела: 2015-02-27

Черновой материал - просим прокомментировать

О средах экстрасети.

Среда экстрасети — это частная сеть, безопасно расширенная в общий сегмент данных и процессов организации, к которому имеют удаленный доступ сотрудники, внешние партнеры или клиенты. С помощью экстрасети можно распределить любой тип содержимого, размещенного приложением Microsoft Office Project Server 2007, включая следующее:

  • информация веб-клиента Project (назначения, задачи, проекты и т. д.);

  • общая информация, доступная через рабочие пространства Project.

В следующей таблице описаны преимущества, которые предоставляет экстрасеть для каждой группы.

Группа Преимущества

Удаленные сотрудники

Могут обращаться к корпоративной информации и электронным ресурсам повсюду, в любое время и из любого места без использования виртуальной частной сети. В эту группу входят:

  • сотрудники отдела сбыта, находящиеся в командировке;

  • сотрудники, работающие из дома или с веб-сайта клиента;

  • виртуальные рабочие группы, территориально рассредоточенные.

Внешние партнеры

Могут участвовать в бизнес-процессах и общей работе с сотрудниками организации. Экстрасеть можно использовать для повышения безопасности данных следующими способами:

  • применение соответствующего уровня безопасности и компонентов интерфейса пользователя для изоляции партнеров и обособления внутренних данных;

  • авторизация партнеров для использования только тех сайтов и данных, которые необходимы для их участия;

  • обеспечение гарантии того, что партнеры не имеют доступ к данным других партнеров.

Можно оптимизировать процессы и сайты для совместной работы с партнерами следующими способами.

  • Разрешить как собственным сотрудникам, так и сотрудникам компаний-партнеров просматривать, изменять, добавлять и удалять содержимое, необходимое для успешной деятельности обеих компаний.

  • Настроить предупреждения, уведомляющие пользователей о внесении изменений в содержимое или запуске рабочего процесса.

Приложение Office Project Server 2007 содержит гибкие параметры для настройки доступа из экстрасети к сайтам. Можно предоставить доступ из Интернета к подгруппам сайтов или ко всему содержимому в ферме серверов. Можно разместить содержимое экстрасети внутри корпоративной сети и сделать его доступным через пограничный брандмауэр, или можно изолировать ферму серверов внутри демилитаризованной зоны.

Поддерживаемые топологии экстрасети.

В данном разделе обсуждаются отдельные топологии экстрасети, протестированные с помощью приложения Office Project Server 2007. Рассматриваемые здесь топологии помогут понять параметры, доступные в Office Project Server 2007, включая обязательные и компромиссные варианты.

Office Project Server 2007 поддерживает следующие три топологии:

  • Пограничный межсетевой экран;

  • Демилитаризованная зона с двумя межсетевыми экранами;

  • Разделенная демилитаризованная зона с двумя межсетевыми экранами.

Топология с пограничным межсетевым экраном.

В этой конфигурации используется обратный прокси-сервер на границе между Интернетом и корпоративной сетью, чтобы перехватывать запросы и передавать их дальше на соответствующий веб-сервер, расположенный в интрасети. С помощью набора настраиваемых правил прокси-сервер проверяет наличие разрешения для запрошенных URL-адресов на основе зоны, из которой исходил запрос. Запрошенные URL-адреса затем преобразуются во внутренние URL-адреса. На следующем рисунке показана топология с пограничным межсетевым экраном.

Топология фермы экстрасети — пограничный межсетевой экран

Достоинства

  • Самое простое решение, требующее меньше всего оборудования и настроек.

  • Вся ферма серверов расположена в корпоративной сети.

  • Единая точка данных:

    • Данные расположены в надежной сети.

    • Обслуживание данных происходит в одном месте.

    • Использование одной фермы как для внутренних, так и для внешних запросов гарантирует, что все авторизованные пользователи просматривают одинаковое содержимое.

  • Внутренние запросы пользователей не проходят через прокси-сервер.

Недостатки

  • Используется один сетевой экран, отделяющий корпоративную внутреннюю сеть от Интернета.

Топология демилитаризованной зоны с двумя межсетевыми экранами.

В топологии демилитаризованной зоны с двумя межсетевыми экранами ферма серверов изолируется в отдельной демилитаризованной зоне, как показано на следующем рисунке.

Демилитаризованная зона с двумя межсетевыми экранами

Эта топология имеет следующие характеристики.

  • Всё оборудование и все данные размещаются в демилитаризованной зоне.

  • Роли фермы серверов и серверы инфраструктуры сети могут быть разделены на несколько уровней. Объединение уровней сети может упростить процесс и снизить затраты.

  • Каждый уровень может быть разделен дополнительными маршрутизаторами или межсетевыми экранами, чтобы разрешить запросы только с отдельных уровней.

  • Запросы из внутренней сети могут быть направлены через внутренний ISA-сервер или маршрутизированы через публичный интерфейс демилитаризованной зоны.

Достоинства

  • Содержимое изолировано в одной ферме в экстрасети, что упрощает распределение и поддержку содержимого в интрасети и экстрасети.

  • Доступ внешних пользователей ограничен демилитаризованной зоной.

  • Если экстрасеть подвергнется атаке, возможность нанесения вреда потенциально ограничивается атакованным уровнем или демилитаризованной зоной.

  • Используя отдельную инфраструктуру для службы каталогов Active Directory, учетные записи внешних пользователей можно создавать без влияния на внутренний корпоративный каталог.

Недостатки

  • Требуется дополнительная инфраструктура сети и настройка.

Топология разделенной демилитаризованной зоны с двумя межсетевыми экранами.

В этой топологии ферма разделена между демилитаризованной зоной и корпоративными сетями. Компьютеры, работающие под управлением программы базы данных Microsoft SQL Server, размещаются внутри корпоративной сети. Веб-серверы находятся в демилитаризованной зоне. Серверы приложения могут размещаться и в демилитаризованной зоне, и в корпоративной сети.

Разделенная демилитаризованная зона с двумя межсетевыми экранами

На предыдущем рисунке:

  • Серверы приложений размещены в демилитаризованной зоне. Эти компьютеры отображены синим цветом внутри пунктирной линии.

  • Серверы приложений дополнительно можно развернуть внутри корпоративной сети с серверами базы данных. Этот вариант отображен компьютерами серого цвета внутри пунктирной линии. Если серверы приложений разворачиваются внутри корпоративной сети с серверами базы данных, также потребуется среда Active Directory для поддержки этих серверов (показана компьютерами серого цвета внутри корпоративной сети).

Если ферма серверов разделена между демилитаризованной зоной и корпоративной сетью с серверами базы данных, размещенными внутри корпоративной сети, требуется отношение доверия доменов, если для доступа к серверу SQL используются учетные записи Windows. В этом сценарии домен демилитаризованной зоны должен доверять корпоративному домену. Если используется проверка подлинности SQL, отношение доверия доменов не требуется.

Достоинства

  • Компьютеры, на которых выполняется SQL Server, не размещены внутри демилитаризованной зоны.

  • Компоненты фермы внутри корпоративной сети и в демилитаризованной зоне могут использовать одни и те же базы данных.

  • Содержимое можно изолировать в одной ферме внутри корпоративной сети, что упрощает распределение и поддержку содержимого в масштабе корпоративной сети и демилитаризованной зоны.

  • Благодаря отдельной инфраструктуре Active Directory, внешние учетные записи пользователей можно создавать без влияния на внутренний корпоративный каталог.

Недостатки

  • Значительно возрастает сложность решения.

  • Злоумышленники, атакующие ресурсы демилитаризованной зоны, могут получить доступ к содержимому фермы, хранящемуся в корпоративной сети, используя учетные записи фермы серверов.

  • Связи внутри фермы, как правило, разделены на два домена.