安全的网络设计
几十年来,ArcGIS 软件一直要求在安全的网络和环境内工作。 要继续与这些安全网络保持一致,需要支持新的安全概念、提供程序和模式。 可以为在更安全的环境中工作的架构师建立一些关键的设计标准或准则。 随着组织从网络具有明确定义的隐式信任态势发展为用户在 Internet、Intranet 以及两者之间的不同空间之间移动的世界,网络安全的定义已经发生变化并不断发展,引入了新的选项和复杂性。
系统架构师通常不负责定义网络构造、拓扑或设计目标,因此构建 ArcGIS 系统的过程通常是提出问题、了解网络约束,然后确保生成的系统能够在这些约束下正常工作的过程。
安全网络中的 ArcGIS
ArcGIS Enterprise、ArcGIS Pro 和其他 ArcGIS 应用程序和工具专门用于在安全网络(甚至是与 Internet 完全断开连接的网络)中有效工作。 提供了安全网络中 ArcGIS 的几个关键注意事项。
- ArcGIS 软件组件希望能够直接连接到其他 ArcGIS 应用程序或端点。 这适用于 ArcGIS Enterprise 组件(例如 ArcGIS Server 和 ArcGIS Data Store)以及桌面客户端(例如移动应用程序、ArcGIS Pro 和 ArcGIS Earth)。 直接连接意味着系统可以在同一网络上运行的组件之间进行通信,而无需身份感知代理或其他身份验证层。 在安全网络中,通常使用转发代理来提供对其他企业资源和端点或基于 Internet 的外部数据、服务或应用程序的访问。 有关其他注意事项,请参阅转发代理。
- 对于需要面向公众的端点或托管公共 Web 应用程序的系统,建议使用 DMZ 样式的部署,并配置 Web 应用程序防火墙或其他传入流量检测设备或软件。
- 更安全的网络通常意味着更安全的操作系统配置,例如使用 Windows 强化进程或安全增强型 Linux (SELinux)。 这些过程可能会引入各种配置更改,这些更改虽然通常与 ArcGIS 系统兼容,但可能会引入难以识别或诊断的错误或连接问题。 当安全网络设计涉及系统强化时,请与组织的 IT 专业人员和安全专家密切合作,了解配置更改、影响和测试选项,以确定可能引入问题的位置。
资源
有关 ArcGIS Enterprise 组件的计算机间端口要求的具体指导,请参阅相关软件文档。 该文档还包括针对 ArcGIS Enterprise 组件的实用端口要求逻辑示意图。