Поддерживаемые топологии экстрасети Project Server 2007
Обновлено: Февраль 2010 г.
Последнее изменение раздела: 2015-02-27
О средах экстрасети.
Среда экстрасети — это частная сеть, безопасно расширенная в общий сегмент данных и процессов организации, к которому имеют удаленный доступ сотрудники, внешние партнеры или клиенты. С помощью экстрасети можно распределить любой тип содержимого, размещенного приложением Microsoft Office Project Server 2007, включая следующее:
информация веб-клиента Project (назначения, задачи, проекты и т. д.);
общая информация, доступная через рабочие пространства Project.
В следующей таблице описаны преимущества, которые предоставляет экстрасеть для каждой группы.
Группа | Преимущества |
---|---|
Удаленные сотрудники |
Могут обращаться к корпоративной информации и электронным ресурсам повсюду, в любое время и из любого места без использования виртуальной частной сети. В эту группу входят:
|
Внешние партнеры |
Могут участвовать в бизнес-процессах и общей работе с сотрудниками организации. Экстрасеть можно использовать для повышения безопасности данных следующими способами:
Можно оптимизировать процессы и сайты для совместной работы с партнерами следующими способами.
|
Приложение Office Project Server 2007 содержит гибкие параметры для настройки доступа из экстрасети к сайтам. Можно предоставить доступ из Интернета к подгруппам сайтов или ко всему содержимому в ферме серверов. Можно разместить содержимое экстрасети внутри корпоративной сети и сделать его доступным через пограничный брандмауэр, или можно изолировать ферму серверов внутри демилитаризованной зоны.
Поддерживаемые топологии экстрасети.
В данном разделе обсуждаются отдельные топологии экстрасети, протестированные с помощью приложения Office Project Server 2007. Рассматриваемые здесь топологии помогут понять параметры, доступные в Office Project Server 2007, включая обязательные и компромиссные варианты.
Office Project Server 2007 поддерживает следующие три топологии:
Пограничный межсетевой экран;
Демилитаризованная зона с двумя межсетевыми экранами;
Разделенная демилитаризованная зона с двумя межсетевыми экранами.
Топология с пограничным межсетевым экраном.
В этой конфигурации используется обратный прокси-сервер на границе между Интернетом и корпоративной сетью, чтобы перехватывать запросы и передавать их дальше на соответствующий веб-сервер, расположенный в интрасети. С помощью набора настраиваемых правил прокси-сервер проверяет наличие разрешения для запрошенных URL-адресов на основе зоны, из которой исходил запрос. Запрошенные URL-адреса затем преобразуются во внутренние URL-адреса. На следующем рисунке показана топология с пограничным межсетевым экраном.
Достоинства
Самое простое решение, требующее меньше всего оборудования и настроек.
Вся ферма серверов расположена в корпоративной сети.
Единая точка данных:
Данные расположены в надежной сети.
Обслуживание данных происходит в одном месте.
Использование одной фермы как для внутренних, так и для внешних запросов гарантирует, что все авторизованные пользователи просматривают одинаковое содержимое.
Внутренние запросы пользователей не проходят через прокси-сервер.
Недостатки
- Используется один сетевой экран, отделяющий корпоративную внутреннюю сеть от Интернета.
Топология демилитаризованной зоны с двумя межсетевыми экранами.
В топологии демилитаризованной зоны с двумя межсетевыми экранами ферма серверов изолируется в отдельной демилитаризованной зоне, как показано на следующем рисунке.
Эта топология имеет следующие характеристики.
Всё оборудование и все данные размещаются в демилитаризованной зоне.
Роли фермы серверов и серверы инфраструктуры сети могут быть разделены на несколько уровней. Объединение уровней сети может упростить процесс и снизить затраты.
Каждый уровень может быть разделен дополнительными маршрутизаторами или межсетевыми экранами, чтобы разрешить запросы только с отдельных уровней.
Запросы из внутренней сети могут быть направлены через внутренний ISA-сервер или маршрутизированы через публичный интерфейс демилитаризованной зоны.
Достоинства
Содержимое изолировано в одной ферме в экстрасети, что упрощает распределение и поддержку содержимого в интрасети и экстрасети.
Доступ внешних пользователей ограничен демилитаризованной зоной.
Если экстрасеть подвергнется атаке, возможность нанесения вреда потенциально ограничивается атакованным уровнем или демилитаризованной зоной.
Используя отдельную инфраструктуру для службы каталогов Active Directory, учетные записи внешних пользователей можно создавать без влияния на внутренний корпоративный каталог.
Недостатки
- Требуется дополнительная инфраструктура сети и настройка.
Топология разделенной демилитаризованной зоны с двумя межсетевыми экранами.
В этой топологии ферма разделена между демилитаризованной зоной и корпоративными сетями. Компьютеры, работающие под управлением программы базы данных Microsoft SQL Server, размещаются внутри корпоративной сети. Веб-серверы находятся в демилитаризованной зоне. Серверы приложения могут размещаться и в демилитаризованной зоне, и в корпоративной сети.
На предыдущем рисунке:
Серверы приложений размещены в демилитаризованной зоне. Эти компьютеры отображены синим цветом внутри пунктирной линии.
Серверы приложений дополнительно можно развернуть внутри корпоративной сети с серверами базы данных. Этот вариант отображен компьютерами серого цвета внутри пунктирной линии. Если серверы приложений разворачиваются внутри корпоративной сети с серверами базы данных, также потребуется среда Active Directory для поддержки этих серверов (показана компьютерами серого цвета внутри корпоративной сети).
Если ферма серверов разделена между демилитаризованной зоной и корпоративной сетью с серверами базы данных, размещенными внутри корпоративной сети, требуется отношение доверия доменов, если для доступа к серверу SQL используются учетные записи Windows. В этом сценарии домен демилитаризованной зоны должен доверять корпоративному домену. Если используется проверка подлинности SQL, отношение доверия доменов не требуется.
Достоинства
Компьютеры, на которых выполняется SQL Server, не размещены внутри демилитаризованной зоны.
Компоненты фермы внутри корпоративной сети и в демилитаризованной зоне могут использовать одни и те же базы данных.
Содержимое можно изолировать в одной ферме внутри корпоративной сети, что упрощает распределение и поддержку содержимого в масштабе корпоративной сети и демилитаризованной зоны.
Благодаря отдельной инфраструктуре Active Directory, внешние учетные записи пользователей можно создавать без влияния на внутренний корпоративный каталог.
Недостатки
Значительно возрастает сложность решения.
Злоумышленники, атакующие ресурсы демилитаризованной зоны, могут получить доступ к содержимому фермы, хранящемуся в корпоративной сети, используя учетные записи фермы серверов.
Связи внутри фермы, как правило, разделены на два домена.