在保护 ArcGIS Enterprise 门户时,务必使门户也在安全环境下运行。可遵循多种安全性最佳做法,以确保获得最高安全性。
限制门户的代理功能
在某些情况下会将门户用作代理服务器。因此,可能会将门户的代理功能误用,从而导致对门户计算机可访问的所有计算机均启动拒绝服务 (DoS) 或服务器端请求伪造 (SSRF) 攻击。为减少这种潜在漏洞,强烈建议您将门户的代理功能限制为已批准的 web 地址。有关其他详细信息和完整说明,请参阅限制门户的代理功能。
禁用匿名访问
为了防止任何用户在未预先提供门户凭据的情况下对内容进行访问,建议将门户配置为禁用匿名访问。禁用匿名访问有助于确保公共用户无法访问门户上的资源。
要了解如何在 ArcGIS Enterprise 门户中禁用匿名访问,请参阅禁用匿名访问。如果使用 Web 层身份验证(即通过ArcGIS Web Adaptor 执行身份验证),您还需在 Web 服务器上禁用匿名访问。相关说明,请参阅 Web 服务器的产品文档。
配置 CA 签名的服务器证书
ArcGIS Enterprise 门户预先配置了自签名的服务器证书,以便对门户进行初始测试并帮助您快速验证安装是否成功。然而,在绝大多数情况下,组织需要从受信任的证书颁发机构 (CA) 请求证书并配置使用该证书配置门户。证书可由公司(内部)或商业 CA 签名。
应使用公司或商业 CA 的证书对组织内的每个适用 ArcGIS 组件进行配置。常见的示例包括 ArcGIS Web Adaptor 和 ArcGIS Server。例如,ArcGIS Server 还预先配置了自签名证书。您将联合 ArcGIS Server 站点与您的门户,这对请求 CA 签名的证书并配置要使用它的服务器和 Web Adaptor 十分重要。
配置来自受信任颁发机构的证书对于基于 Web 的系统来说是一种安全的方法,同时也将避免用户遇到任何浏览器发出的警告或其他异常行为。如果在测试期间选择使用 ArcGIS Enterprise 随附的自签名证书,则将遇到以下问题:
- 有关不受信任站点的 Web 浏览器和 ArcGIS Desktop 警告。通常,Web 浏览器遇到自签名证书时将显示警告消息并要求您确认是否继续前往该站点。只要您使用自签名证书,许多浏览器就会显示警告图标或对地址栏标红。
- 无法在门户的 Map Viewer 中打开联合服务、无法将受保护的服务项添加到门户、无法在联合服务器中登录到 ArcGIS Server Manager 以及无法从 ArcGIS Maps for Office 连接到门户。
- 配置实用程序服务、打印托管服务以及从客户端应用程序访问门户时出现异常行为。
警告:
以上使用自签名证书时将遇到的问题列表并不详尽。必须使用 CA 签名证书全面测试和部署门户。
有关如何使用 CA 签名证书配置 ArcGIS Enterprise 的说明,请参阅以下主题:
配置 HTTPS
当您首次配置 ArcGIS Enterprise 部署时,只要执行凭据验证,就会通过 HTTPS 发送用户名和密码。这意味着您通过内部网络或 Internet 发送的凭据已加密,并且不会被截取。但是,门户中的其他所有通信通过 HTTP 发送,这并不安全。为了防止门户中的任意通信遭到截取,建议您配置门户和托管 ArcGIS Web Adaptor 的 Web 服务器以强制执行 HTTPS。如果您拥有到使用 HTTP 的门户网站的快捷方式或书签,则需要更新这些内容以使用 HTTPS。
在门户中强制执行 HTTPS 还会控制与外部 Web 内容(例如 ArcGIS Server 服务、开放地理空间联盟 (OGC) 服务等)之间的通信。强制执行 HTTPS 时,ArcGIS Enterprise 门户将只使用 HTTPS 访问外部 Web 内容。如果 HTTPS 不可用,则会阻止外部内容。
要了解如何在 ArcGIS Enterprise 中对所有通信强制执行 HTTPS,请参阅配置 HTTPS。
禁用 ArcGIS Portal 目录
可通过禁用 ArcGIS Portal 目录来减少从 Web 搜索中找到、浏览或者通过 HTML 表单查询到您的门户项目、服务、Web 地图、群组和其他资源的可能性。禁用 ArcGIS Portal 目录还可以加强对跨站点脚本 (XSS) 攻击的防护。
是否禁用 ArcGIS Portal 目录取决于门户的用途以及用户和开发人员依靠其进行浏览的程度。禁用 ArcGIS Portal 目录后,您可能需要准备好创建可用于门户的项目的其他列表或元数据。
有关详细说明,请参阅禁用 ArcGIS Portal 目录。
配置防火墙以使用门户
每个计算机都有数千个端口,其他计算机可通过这些端口向其发送信息。防火墙是一种安全机制,用于限制其他计算机与您的计算机进行通信时所能使用的端口数。当使用防火墙将通信限制为仅可通过少量端口进行传输时,您就可对这些端口进行严密监控从而防止遭到外来攻击。
ArcGIS Enterprise 门户使用诸如 7005、7080、7099、7443 和 7654 等特定端口进行通信。作为安全性最佳做法,建议您打开防火墙以允许在这些端口上进行通信;否则,门户可能无法正常运行。有关详细信息,请参阅 Portal for ArcGIS 使用的端口。
指定默认令牌有效期
如果使用门户内置身份存储,可使用令牌验证成员的身份。当用户尝试访问门户时,需要提供用户名和密码。Portal for ArcGIS 会验证提供的凭据,生成令牌,并将令牌颁发给成员。
令牌是包含用户名、令牌有效期和其他专有信息的加密信息字符串。令牌颁发给成员后,成员可在令牌有效期内访问门户。如果到期,成员必须重新提供其用户名和密码。
默认有效期为两周(20,160 分钟)。虽然此有效期可能适用于您的组织,但有效期长的令牌安全性较低。例如,被恶意用户拦截的令牌在有效期内仍可使用。相反,有效期越短越安全,但是成员将需要更频繁地输入其用户名和密码。
要更改默认令牌有效期,请执行指定默认令牌有效期中的步骤。
限制文件权限
建议设置文件权限,以便仅授予对 Portal for ArcGIS 安装目录和内容目录的必需访问权限。Portal for ArcGIS 软件需要的唯一帐户是 Portal for ArcGIS 帐户。此帐户用于运行软件。您的组织可能需要为更多帐户授予访问权限。请注意,门户帐户必须具有对安装目录和内容目录的完全访问权限,站点才能正常工作。
Portal for ArcGIS 会从安装位置的父文件夹中继承文件权限。此外,还会为门户帐户授予权限,使其能够访问安装目录。门户运行时创建的文件将从其父文件夹中继承权限。如果要保护内容目录,则针对父文件夹设置限制权限。
对内容目录具有写入权限的任何帐户都可更改门户设置,而这些设置通常只可由系统管理员进行修改。如果使用内置安全存储来维护用户,则内容目录将包含这些用户的加密密码。在此情况下,还应限制对内容目录的读取权限。