ГИС-сервер ArcGIS Server 9.3 предоставляет различные способы предотвращения несанкционированного доступа к сервисам и веб-приложениям.
В целом, обеспечение безопасности включает следующие меры:
· Защиту ГИС в целом
· Настройку системных учетных записей ГИС-сервера
· Настройку доступа к приложению Manager
· Защиту каталогов для кэширования сервисов
· Настройку доступа локальных пользователей
· Настройку доступа для Интернет-подключений
1.1 Две зоны безопасности ArcGIS Server
Можно выделить две зоны безопасности ArcGIS Server:
· Локальная сеть ГИС-сервера
· Интернет-подключения
ArcGIS Server предоставляет возможности по управлению доступом к обеим зонам. Настройка безопасности каждой из зон имеет свои особенности и ограничения.
Рисунок 1 — Условные зоны безопасности ArcGIS Server
1.2 Защита системы в целом
Локальная сеть, в которой находятся серверы ГИС, может быть закрыта брандмауэром. При этом нет необходимости в установке сетевых экранов между компонентами ГИС-сервера.
Принцип взаимодействия клиента и сервера, рекомендуемый ESRI, приведен на рисунке:
При такой организации взаимодействия клиент отправляет на промежуточный сервер Reverse proxy Web server свой запрос на известный ему порт. Промежуточный сервер перенаправляет запрос на веб-сервер на неизвестный клиенту порт. Это позволяет избежать установки брандмауэров во внутренней сети и использовать открытые DCOM-взаимодействия между компонентами ГИС.
1.3 Доступ к приложению ArcGIS Server Manager
Для запуска ArcGIS Server Manager можно воспользоваться ссылкой: http://<server>/<instance>/Manager/login.aspx [2]. При этом учетная запись пользователя, под которой производится вход, должна:
· Входить в группу agsadmin на SOM-машине
· Входить в группу agsusers на любой машине, к которой будет осуществляться локальное подключение
Для создания веб-приложений учетная запись пользователя, под которой производится вход, также должна входить в группу Администраторы на веб-сервере.
По умолчанию имя пользователя и пароль передается на ГИС-сервер в явном виде, то есть небезопасно. При подключении к серверу по сети Интернет рекомендуется использовать шифрование Secure Sockets Layer (SSL).
1.4 Защита каталогов для кэширования
Для повышения производительности ГИС-сервера данные могут быть кэшированы. В случае применения технологии кэширования следует помнить о защите каталогов для кэширования.
Подробнее о способах защиты каталогов для кэширования.
Скачать PDF-версию с оригинальным оформлением. © Для использования опубликованных на ресурсе материалов достаточно упоминания имени автора и адреса первоисточника. Дата обновления: 2008-11-01.
Комментариев нет:
Отправить комментарий