远程访问(Remote access)是集成的“
路由和远程访问”服务的一部分,用来为
远程办公人员、外出人员,以及监视和管理多个部门办公室服务器的
系统管理员提供远程网络。
具体应用
有运行 Windows 的计算机和网络连接的用户可以拨号远程访问他们的网络来获得服务,例如文件和
打印机共享、
电子邮件、计划及 SQL
数据库访问。
用户分类
通常需要进行远程访问的人有两类,一类是
系统管理员,另一类是普通的用户。
系统管理员通常需要远程访问企业内网的
网络设备或服务器,进行远程配置管理操作。以当前的产品发展来看,大部分企业级的
网络设备或服务器,通常都提供远程配置管理的接口或功能,管理员可以通过telnet、SSH、web GUI乃至远程管理软件终端等方式,从企业网络的WAN侧进入内网进行管理维护。
普通用户的远程访问需求,通常是
远程办公人员、外出人员,犹其是企业高管等需要经常出差又经常需要操作ERP、CRM、HR等信息化系统,进行查看、
审批、提单等操作。在企业信息化不断发展进步的今天,越来越多的此类远程访问需求逐渐成为企业IT管理员关注的焦点。
需求分类
针对普通用户的远程访问需求,较为常见的方式有3种。
第一类是直接开放内部应用系统的端口,允许外部IP直接访问,通过应用系统自身的账号验证机制防范非法用户。
第二类是利用Windows Server 2003及更新的版本所提供的terminal service功能,在外部PC上运行windows
远程桌面,先连接到内网的terminal server,再通过该server代理访问内网应用系统。
第三类是采用
VPN技术实现与企业内网的
远程连接,进而在VPN中访问内网应用系统。
第一类:开放端口方式
直接在
防火墙上开放内部应用系统的端口。例如某公司ERP系统的应用端口是7001~7006,可以在
防火墙上配置将7001~7006
端口转发到内网的ERP服务器IP地址。外出或
远程办公人员可以经由访问企业公网IP的7001~7006端口,直接进入ERP系统。在通过了ERP系统自身的
身份验证之后,就可以进入ERP系统进行操作。
此种方式的实现非常简单,对于技术能力有限,尤其是预算有限的企业,是一种常见的解决方案。但它的威胁也是显而易见的。直接向公网开放ERP
服务器端口,会带来
网络攻击、黑客入侵等安全风险。尤其在病毒和攻击日益汹涌的今天,这无疑会对内部应用系统以及应用
系统服务器的安全构成严重威胁。
第二类:远程桌面技术
windows XP、Vista的所有版本上均集成了
远程桌面终端,只需开启应用
系统服务器上的terminal service功能,并开放
防火墙上的3389端口(即远程桌面技术专用端口),外出或
远程办公人员就可以通过自己PC上的远程桌面终端,连接到应用系统服务器,进而运行相关的应用系统程序。
这一方案因为windows的普及而变得常见。方案的几个要点是:
1,要通过
远程桌面访问应用系统,相当于运行应用
系统服务器上的客户端程序,或以terminal server的内网PC的身份访问内部应用系统,所生成的文件默认是保存在服务器端。如需保存在远端PC上,或在远端PC所连接的打印机上进行打印,还需要进一步配置terminal service的磁盘映射功能,以及在服务器上安装远程
打印机驱动程序等较为复杂的设定。
2,
远程桌面技术本身需要进行
身份验证,比第一类方案多一重验证机制,安全性必然高于第一类方案。
3,外部PC要通过
远程桌面连接内网服务器,仍然需要向公网开放3389端口,因开放端口所导致的服务器受攻击和入侵的风险依然存在。
4,
远程桌面技术本身不对所传输的数据进行加密,如果有人刻意在网络上使用
抓包工具,是完全有可能恢复所传输的数据,进而造成本应属于企业内部信息,甚至商业机密的泄露。
市面上已经有部分产品采用
远程桌面技术为核心,开发出方便管理维护的
远程接入平台软件。其中有些品牌已经可以实现磁盘映射和远程打印,并提供简单的加密功能。安全性和可操作性较windows提供的方案有所提高,但安装步骤较为繁琐。且加密等级较低,存在破解风险。而服务器3389端口的开放所带来的风险依然难以回避。
第三类:VPN技术
VPN技术的应用同样由来已久,最大的好处在于数据在公网传输都是在VPN加密通道中,相对应的安全性较高。细分起来也有3种主流的VPN技术:PPTP VPN、IPSec VPN以及SSL VPN。
PPTP VPN
PPTP是一种远程
拨号技术,windows自带的拨号程序就提供PPTP VPN拨号。用户可以通过预先配置好的账号,通过windows自带的拨号程序,远程拨入企业PPTP VPN网关,获得内网IP地址,进而以内网PC的身份访问内部应用系统。
PPTP VPN的优势在于技术的普及,windows自带拨号程序使得最终用户无需另行购买安装额外的软件,降低了成本和维护。缺点在于,PPTP协议本身也提供较低等级的加密,为数据在公网上传输提供相应的安全性。但PPTP的加密安全性等级不高,存在被有心人士破解的风险。且用户拨入内网后,没有相应的权限管理,可以访问到任意内网资源,不利于内部网络信息安全管理。
IPSec VPN
IPSec VPN以其高达168位的加密安全性,以及核心技术的普及所带来的成本下降,已经成为企业构建跨地域VPN网络的首选方案。任意两个网络之间,只要建立了IPSec VPN,就如同在同一个局域网内,可以任意传送资料和访问对方的应用系统。
市面上主流品牌的
网关路由器通常都支持IPSec VPN功能,该功能也多用于企业总部与分支之间建立跨地域的VPN,连接多个不同地域的局域网。 IPSec VPN如果用来解决远程访问的需要,必须在远程PC上安装IPSec VPN客户端程序。通常这样的客户端程序都不是免费的,价格从几百块到上千块不等。且客户端的配置通常较为复杂,对于企业一般员工,尤其是企业高管人员,存在一定的技术难度。同样的,IPSec VPN也很难做到权限管理,只要连通VPN,就可以不受限制的访问任意系统,不利于内部信息安全管理。
SSL VPN
SSL VPN所采用的128位
加密技术,同样能够提供高等级的数据传输安全性。且SSL技术普遍内置于各类主流浏览器,一般用户只需要通过https方式进行访问,就可以在SSL加密的通道中传输数据,避免了安装调试的繁琐,也不用额外投入费用。正是由于有着高安全性、应用简便以及低成本的优势,SSL
加密技术已经广泛应用与网上银行、在线购物、在线支付等对安全性和移动性要求较高的行业。
对于企业外出或
远程办公人员,只需打开浏览器,输入企业SSL VPN入口网址或IP,使用个人的VPN账号登录,就可以进入企业内网,访问各类内网资源。市面上的SSL VPN产品通常都带有用户权限管理功能,有的可以针对用户组——例如财务组,行政组等——进行权限设定,管理组内所有成员允许或禁止访问哪些内网资源或应用系统。还有少数产品甚至可以针对每个用户进行权限设定,以及执行批量设定操作,大大的增强了企业内网信息安全管理的可操作性。
方案选择
综合分析,VPN技术在信息传输安全性方面更胜一筹,也逐渐被众多国内的企业所关注。但VPN技术也存在一些不足,尤其是通过VPN使用ERP系统等远程操作,通常对
带宽要求较高。带宽不足就意味着漫长的等待。要解决这一问题,最好的方法是采用VPN与
远程桌面技术的结合,尤其是SSL VPN+远程桌面技术。
远程桌面
SSL VPN可以保证传输安全性,避免开放
服务器端口,同时提供权限管理。
远程桌面技术的特性是只传送画面的变化,理论上每个连接所需
带宽仅28.8k,可以大大降低远程操作应用系统对带宽的要求。在SSL VPN通道中使用
远程桌面技术,就可以兼收两者所长。
突破限制
远程服务器电源
只有在服务器电源实际处于开机状态时,才可能对其进行远程管理,因此必须首先确保远端的电源和后备电源都运作正常。不间断电源 (UPS) 系统是标准配备,在本地公共电力供应中断时可以临时延续供电。UPS电池一般仅能维持几分钟的紧急电力供应——时间只够用来完成服务器关机过程。
有些服务器根本不能(或者不允许)关闭。对于这类要求零停机时间的应用程序可用性级别,请考虑在UPS电池耗尽前就能接管供电的替代电力来源: 柴油发电机、当地热电联产设施,诸如太阳能或风力农场或甲烷动力燃料电池组。可以选择一个完全冗余的公共电力提供商和线路,虽然这对于大多数企业而言有些不切实际。
当电源失效时,远程服务器管理工具并不能帮到你——尤其是电源故障原因是开关面板故障或断路器跳闸的时候。既要安排技术人员远程检查,必要时也需要亲临现场解决问题。
远程联网
必须使用网络才能管理一台远程服务器,这就需要可靠的互联网连接,网络流量历经本地服务提供商、区域骨干网和远程服务提供商。任何网络通信的中断都会妨碍对远程服务器的管理。
远程数据中心的冗余互联网连接是很常见和有用的。真正的冗余必须使用不同运营商的不同线路才能形成。任何冗余互联网提供商必须包括线路冗余 ;许多组织只是与不同的互联网提供商签订合同,却让多家提供商共用相同的物理线路,这种冗余是不够格的。
可以部署拨号互联网连接供紧急使用,但通过拨号线路进行远程服务器管理是一项挑战,甚至对最有经验的管理员也一样。
考虑雇用技工,在远程站点当地维护内部网络。一名技术员可以找到导致连接问题的失效路由器,现场发现内部网络适配器或交换机端口问题。这些(物理上的)问题都不是远程管理工具能修复的。