具體套用
有運行 Windows 的計算機和網路連線的用戶可以撥號遠程訪問他們的網路來獲得服務,例如檔案和印表機共享、電子郵件、計畫及 SQL 資料庫訪問。
用戶分類
通常需要進行遠程訪問的人有兩類,一類是系統管理員,另一類是普通的用戶。
系統管理員通常需要遠程訪問企業區域網路的網路設備或伺服器,進行遠程配置管理操作。以當前的產品發展來看,大部分企業級的網路設備或伺服器,通常都提供遠程配置管理的接口或功能,管理員可以通過telnet、SSH、web GUI乃至遠程管理軟體終端等方式,從企業網路的WAN側進入區域網路進行管理維護。
普通用戶的遠程訪問需求,通常是遠程辦公人員、外出人員,猶其是企業高管等需要經常出差又經常需要操作ERP、CRM、HR等信息化系統,進行查看、審批、提單等操作。在企業信息化不斷發展進步的今天,越來越多的此類遠程訪問需求逐漸成為企業IT管理員關注的焦點。
需求分類
針對普通用戶的遠程訪問需求,較為常見的方式有3種。
第一類是直接開放內部套用系統的連線埠,允許外部IP直接訪問,通過套用系統自身的賬號驗證機制防範非法用戶。
第二類是利用Windows Server 2003及更新的版本所提供的terminal service功能,在外部PC上運行windows遠程桌面,先連線到區域網路的terminal server,再通過該server代理訪問區域網路套用系統。
第三類是採用VPN技術實現與企業區域網路的遠程連線,進而在VPN中訪問區域網路套用系統。
第一類:開放連線埠方式
直接在防火牆上開放內部套用系統的連線埠。例如某公司ERP系統的套用連線埠是7001~7006,可以在防火牆上配置將7001~7006連線埠轉發到區域網路的ERP伺服器IP位址。外出或遠程辦公人員可以經由訪問企業公網IP的7001~7006連線埠,直接進入ERP系統。在通過了ERP系統自身的身份驗證之後,就可以進入ERP系統進行操作。
此種方式的實現非常簡單,對於技術能力有限,尤其是預算有限的企業,是一種常見的解決方案。但它的威脅也是顯而易見的。直接向公網開放ERP伺服器連線埠,會帶來網路攻擊、黑客入侵等安全風險。尤其在病毒和攻擊日益洶湧的今天,這無疑會對內部套用系統以及套用系統伺服器的安全構成嚴重威脅。
第二類:遠程桌面技術
windows XP、Vista的所有版本上均集成了遠程桌面終端,只需開啟套用系統伺服器上的terminal service功能,並開放防火牆上的3389連線埠(即遠程桌面技術專用連線埠),外出或遠程辦公人員就可以通過自己PC上的遠程桌面終端,連線到套用系統伺服器,進而運行相關的套用系統程式。
這一方案因為windows的普及而變得常見。方案的幾個要點是:
1,要通過遠程桌面訪問套用系統,相當於運行套用系統伺服器上的客戶端程式,或以terminal server的區域網路PC的身份訪問內部套用系統,所生成的檔案默認是保存在伺服器端。如需保存在遠端PC上,或在遠端PC所連線的印表機上進行列印,還需要進一步配置terminal service的磁碟映射功能,以及在伺服器上安裝遠程印表機驅動程式等較為複雜的設定。
2,遠程桌面技術本身需要進行身份驗證,比第一類方案多一重驗證機制,安全性必然高於第一類方案。
3,外部PC要通過遠程桌面連線區域網路伺服器,仍然需要向公網開放3389連線埠,因開放連線埠所導致的伺服器受攻擊和入侵的風險依然存在。
4,遠程桌面技術本身不對所傳輸的數據進行加密,如果有人刻意在網路上使用抓包工具,是完全有可能恢復所傳輸的數據,進而造成本應屬於企業內部信息,甚至商業機密的泄露。
市面上已經有部分產品採用遠程桌面技術為核心,開發出方便管理維護的遠程接入平台軟體。其中有些品牌已經可以實現磁碟映射和遠程列印,並提供簡單的加密功能。安全性和可操作性較windows提供的方案有所提高,但安裝步驟較為繁瑣。且加密等級較低,存在破解風險。而伺服器3389連線埠的開放所帶來的風險依然難以迴避。
第三類:VPN技術
VPN技術的套用同樣由來已久,最大的好處在於數據在公網傳輸都是在VPN加密通道中,相對應的安全性較高。細分起來也有3種主流的VPN技術:PPTP VPN、IPSec VPN以及SSL VPN。
PPTP VPN
PPTP是一種遠程撥號技術,windows自帶的撥號程式就提供PPTP VPN撥號。用戶可以通過預先配置好的賬號,通過windows自帶的撥號程式,遠程撥入企業PPTP VPN網關,獲得區域網路IP位址,進而以區域網路PC的身份訪問內部套用系統。
PPTP VPN的優勢在於技術的普及,windows自帶撥號程式使得最終用戶無需另行購買安裝額外的軟體,降低了成本和維護。缺點在於,PPTP協定本身也提供較低等級的加密,為數據在公網上傳輸提供相應的安全性。但PPTP的加密安全性等級不高,存在被有心人士破解的風險。且用戶撥入區域網路後,沒有相應的許可權管理,可以訪問到任意區域網路資源,不利於內部網路信息安全管理。
IPSec VPN
IPSec VPN以其高達168位的加密安全性,以及核心技術的普及所帶來的成本下降,已經成為企業構建跨地域VPN網路的首選方案。任意兩個網路之間,只要建立了IPSec VPN,就如同在同一個區域網路內,可以任意傳送資料和訪問對方的套用系統。
市面上主流品牌的網關路由器通常都支持IPSec VPN功能,該功能也多用於企業總部與分支之間建立跨地域的VPN,連線多個不同地域的區域網路。 IPSec VPN如果用來解決遠程訪問的需要,必須在遠程PC上安裝IPSec VPN客戶端程式。通常這樣的客戶端程式都不是免費的,價格從幾百塊到上千塊不等。且客戶端的配置通常較為複雜,對於企業一般員工,尤其是企業高管人員,存在一定的技術難度。同樣的,IPSec VPN也很難做到許可權管理,只要連通VPN,就可以不受限制的訪問任意系統,不利於內部信息安全管理。
SSL VPN
SSL VPN所採用的128位加密技術,同樣能夠提供高等級的數據傳輸安全性。且SSL技術普遍內置於各類主流瀏覽器,一般用戶只需要通過https方式進行訪問,就可以在SSL加密的通道中傳輸數據,避免了安裝調試的繁瑣,也不用額外投入費用。正是由於有著高安全性、套用簡便以及低成本的優勢,SSL加密技術已經廣泛套用與網上銀行、線上購物、線上支付等對安全性和移動性要求較高的行業。
對於企業外出或遠程辦公人員,只需打開瀏覽器,輸入企業SSL VPN入口網址或IP,使用個人的VPN賬號登錄,就可以進入企業區域網路,訪問各類區域網路資源。市面上的SSL VPN產品通常都帶有用戶許可權管理功能,有的可以針對用戶組——例如財務組,行政組等——進行許可權設定,管理組內所有成員允許或禁止訪問哪些區域網路資源或套用系統。還有少數產品甚至可以針對每個用戶進行許可權設定,以及執行批量設定操作,大大的增強了企業區域網路信息安全管理的可操作性。
方案選擇
綜合分析,VPN技術在信息傳輸安全性方面更勝一籌,也逐漸被眾多國內的企業所關注。但VPN技術也存在一些不足,尤其是通過VPN使用ERP系統等遠程操作,通常對頻寬要求較高。頻寬不足就意味著漫長的等待。要解決這一問題,最好的方法是採用VPN與遠程桌面技術的結合,尤其是SSL VPN+遠程桌面技術。
遠程桌面
SSL VPN可以保證傳輸安全性,避免開放伺服器連線埠,同時提供許可權管理。遠程桌面技術的特性是只傳送畫面的變化,理論上每個連線所需頻寬僅28.8k,可以大大降低遠程操作套用系統對頻寬的要求。在SSL VPN通道中使用遠程桌面技術,就可以兼收兩者所長。
突破限制
遠程伺服器電源
只有在伺服器電源實際處於開機狀態時,才可能對其進行遠程管理,因此必須首先確保遠端的電源和後備電源都運作正常。不間斷電源 (UPS) 系統是標準配備,在本地公共電力供應中斷時可以臨時延續供電。UPS電池一般僅能維持幾分鐘的緊急電力供應——時間只夠用來完成伺服器關機過程。
有些伺服器根本不能(或者不允許)關閉。對於這類要求零停機時間的應用程式可用性級別,請考慮在UPS電池耗盡前就能接管供電的替代電力來源: 柴油發電機、當地熱電聯產設施,諸如太陽能或風力農場或甲烷動力燃料電池組。可以選擇一個完全冗餘的公共電力提供商和線路,雖然這對於大多數企業而言有些不切實際。
當電源失效時,遠程伺服器管理工具並不能幫到你——尤其是電源故障原因是開關面板故障或斷路器跳閘的時候。既要安排技術人員遠程檢查,必要時也需要親臨現場解決問題。
遠程聯網
必須使用網路才能管理一台遠程伺服器,這就需要可靠的網際網路連線,網路流量歷經本地服務提供商、區域骨幹網和遠程服務提供商。任何網路通信的中斷都會妨礙對遠程伺服器的管理。
遠程數據中心的冗餘網際網路連線是很常見和有用的。真正的冗餘必須使用不同運營商的不同線路才能形成。任何冗餘網際網路提供商必須包括線路冗餘 ;許多組織只是與不同的網際網路提供商簽訂契約,卻讓多家提供商共用相同的物理線路,這種冗餘是不夠格的。
可以部署撥號網際網路連線供緊急使用,但通過撥號線路進行遠程伺服器管理是一項挑戰,甚至對最有經驗的管理員也一樣。
考慮雇用技工,在遠程站點當地維護內部網路。一名技術員可以找到導致連線問題的失效路由器,現場發現內部網路適配器或交換機連線埠問題。這些(物理上的)問題都不是遠程管理工具能修復的。