安全性最佳做法

在保护 Portal for ArcGIS 时,务必使门户也在安全环境下运行。可遵循多种安全性最佳做法,以确保获得最高安全性。

禁用匿名访问

为了防止任何用户在未预先提供凭据的情况下对内容进行访问,建议将门户配置为禁用匿名访问。禁用匿名访问有助于确保公共用户无法访问门户上的资源。

要了解如何在 Portal for ArcGIS 中禁用匿名访问,请参阅禁用匿名访问。如果使用 Web 层身份验证(即通过 Web Adaptor 执行身份验证),您还需在 Web 服务器上禁用匿名访问。相关说明,请参阅 Web 服务器的产品文档。

请求并配置自己的 SSL 证书

Portal for ArcGIS 预先配置了自签名的 SSL 证书,这样,可初始测试门户并帮助您快速验证是否安装成功。然而,在绝大多数情况下,组织在使用门户之前需要从受信任的证书颁发机构 (CA) 请求 SSL 证书并配置门户。这可能是由您的组织或 CA 签名证书颁发的域证书。

Portal for ArcGIS 一样,ArcGIS Server 还预先配置了自签名证书。如果将 ArcGIS Server 站点和门户联合,应从受信任的证书颁发机构 (CA) 请求 SSL 证书并配置服务器以进行使用。

配置来自受信任颁发机构的证书对于基于 Web 的系统来说是一种安全的方法,同时也将避免用户遇到任何浏览器发出的警告或其他异常行为。如果在测试期间选择使用 Portal for ArcGIS 和 ArcGIS Server 随附的自签名证书,则将遇到以下问题:

警告警告:

以上使用自签名证书时将遇到的问题列表并不详尽。建议使用域证书或 CA 签名证书全面测试和部署门户。

有关如何使用自己的证书配置 Portal for ArcGIS 和 ArcGIS Server 的说明,请参阅以下主题:

配置 HTTPS

当您首次配置门户的部署时,只要执行凭据验证,就会通过 HTTPS(安全套接字层或 SSL)发送用户名和密码。这意味着您通过内部网络或 Internet 发送的凭据已加密,并且不会被截取。但是,门户中的其他所有通信通过 HTTP 发送,这并不安全。为了防止门户中的其他通信被截取,建议您配置门户和托管 Web Adaptor 的 Web 服务器以强制执行 SSL。

为所有通信请求 SSL 可能会影响门户的性能。同样,如果您拥有到使用 HTTP 的门户网站的快捷方式或书签,则需要更新这些内容以使用 HTTPS。

要了解如何在 Portal for ArcGIS 中对所有通信执行 SSL,请参阅配置 HTTPS

禁用 ArcGIS Portal 目录

可通过禁用 ArcGIS Portal 目录来减少从 Web 搜索中找到、浏览或者通过 HTML 表单查询到您的门户项目、服务、Web 地图、组和其他资源的可能性。禁用 Portal 目录还可以加强对跨站点脚本 (XSS) 攻击的防护。

是否禁用 Portal 目录取决于门户的用途以及用户和开发人员依靠它来进行浏览的程度。禁用 Portal 目录后,您可能需要准备创建可用于门户的项目的其他列表或元数据。

有关详细说明,请参阅禁用 ArcGIS Portal 目录

配置防火墙以使用门户

每个计算机都有数千个端口,其他计算机可通过这些端口向其发送信息。防火墙是一种安全机制,用于限制其他计算机与您的计算机进行通信时所能使用的端口数。当使用防火墙将通信限制为仅可通过少量端口进行传输时,您就可对这些端口进行严密监控从而防止遭到外来攻击。

Portal for ArcGIS 使用特定的端口进行通信(如 7080、7443、7005、7099、7199 和 7654)。作为安全性最佳做法,建议您打开防火墙以允许在这些端口上进行通信;否则,门户可能无法正常运行。要了解详细信息,请参阅 Portal for ArcGIS 使用的端口

限制文件权限

建议设置文件权限,以便仅授予对 Portal for ArcGIS 安装目录和内容目录的必需访问权限。访问 Portal for ArcGIS 软件需要具备的唯一帐户是 Portal for ArcGIS 帐户。此帐户用于运行软件。您的组织可能需要为更多帐户授予访问权限。请注意,Portal for ArcGIS 帐户必须具有对安装目录和内容目录的完全访问权限,站点才能正常工作。

Portal for ArcGIS 会从安装位置的父文件夹中继承权限。此外,Portal for ArcGIS 还会为 Portal for ArcGIS 帐户授予权限,使其能够访问安装目录。门户运行时创建的文件将从其父文件夹中继承权限。如果要保护内容目录,则设置限制访问父文件夹。

对内容目录具有写入权限的任何帐户都可更改 Portal for ArcGIS 设置,而这些设置通常只可由系统管理员进行修改。如果使用内置安全存储来维护用户,则内容目录将包含这些用户的密码。在此情况下,还应限制对内容目录的读取权限。

5/10/2014