遠程訪問
遠程訪問(Remote access)是集成的「路由和遠程訪問」服務的一部分,用來為遠程辦公人員、外出人員,以及監視和管理多個部門辦公室服務器的系統管理員提供遠程網絡。 遠程訪問服務提供的是一種全面的遠程系統管理解決方案,可用於配備了 遠程訪問卡 (DRAC) III、DRAC III/XT、Dell 嵌入式遠程訪問 (ERA) 控制器或 ERA 選件 (ERA/O) 卡並裝有 SNMP 和 CIM 的系統。這些硬件和軟件解決方案統稱為遠程訪問控制器 (RAC)。遠程訪問服務使您可以遠程訪問未運行的系統,使其儘快啟動並運行。遠程訪問服務還可在系統停機時提供警報通知,並允許您遠程重新啟動系統。此外,遠程訪問服務還將記錄系統崩潰的可能原因並保存最近一次的崩潰屏幕。[1]
目錄
具體應用
有運行 Windows 的計算機和網絡連接的用戶可以撥號遠程訪問他們的網絡來獲得服務,例如文件和打印機共享、電子郵件、計劃及 SQL 數據庫訪問
用戶分類
通常需要進行遠程訪問的人有兩類,一類是系統管理員,另一類是普通的用戶。 系統管理員通常需要遠程訪問企業內網的網絡設備或服務器,進行遠程配置管理操作。以當前的產品發展來看,大部分企業級的網絡設備或服務器,通常都提供遠程配置管理的接口或功能,管理員可以通過telnet、SSH、web GUI乃至遠程管理軟件終端等方式,從企業網絡的WAN側進入內網進行管理維護。 普通用戶的遠程訪問需求,通常是遠程辦公人員、外出人員,猶其是企業高管等需要經常出差又經常需要操作ERP、CRM、HR等信息化系統,進行查看、審批、提單等操作。在企業信息化不斷發展進步的今天,越來越多的此類遠程訪問需求逐漸成為企業IT管理員關注的焦點。
需求分類
針對普通用戶的遠程訪問需求,較為常見的方式有3種。 第一類是直接開放內部應用系統的端口,允許外部IP直接訪問,通過應用系統自身的賬號驗證機制防範非法用戶。 第二類是利用Windows Server 2003及更新的版本所提供的terminal service功能,在外部PC上運行windows遠程桌面,先連接到內網的terminal server,再通過該server代理訪問內網應用系統。 第三類是採用VPN技術實現與企業內網的遠程連接,進而在VPN中訪問內網應用系統。 第一類:開放端口方式 直接在防火牆上開放內部應用系統的端口。例如某公司ERP系統的應用端口是7001~7006,可以在防火牆上配置將7001~7006端口轉發到內網的ERP服務器IP地址。外出或遠程辦公人員可以經由訪問企業公網IP的7001~7006端口,直接進入ERP系統。在通過了ERP系統自身的身份驗證之後,就可以進入ERP系統進行操作。 此種方式的實現非常簡單,對於技術能力有限,尤其是預算有限的企業,是一種常見的解決方案。但它的威脅也是顯而易見的。直接向公網開放ERP服務器端口,會帶來網絡攻擊、黑客入侵等安全風險。尤其在病毒和攻擊日益洶湧的今天,這無疑會對內部應用系統以及應用系統服務器的安全構成嚴重威脅。 第二類:遠程桌面技術 windows XP、Vista的所有版本上均集成了遠程桌面終端,只需開啟應用系統服務器上的terminal service功能,並開放防火牆上的3389端口(即遠程桌面技術專用端口),外出或遠程辦公人員就可以通過自己PC上的遠程桌面終端,連接到應用系統服務器,進而運行相關的應用系統程序。 這一方案因為windows的普及而變得常見。方案的幾個要點是: 1,要通過遠程桌面訪問應用系統,相當於運行應用系統服務器上的客戶端程序,或以terminal server的內網PC的身份訪問內部應用系統,所生成的文件默認是保存在服務器端。如需保存在遠端PC上,或在遠端PC所連接的打印機上進行打印,還需要進一步配置terminal service的磁盤映射功能,以及在服務器上安裝遠程打印機驅動程序等較為複雜的設定。 2,遠程桌面技術本身需要進行身份驗證,比第一類方案多一重驗證機制,安全性必然高於第一類方案。 3,外部PC要通過遠程桌面連接內網服務器,仍然需要向公網開放3389端口,因開放端口所導致的服務器受攻擊和入侵的風險依然存在。 4,遠程桌面技術本身不對所傳輸的數據進行加密,如果有人刻意在網絡上使用抓包工具,是完全有可能恢復所傳輸的數據,進而造成本應屬於企業內部信息,甚至商業機密的泄露。 市面上已經有部分產品採用遠程桌面技術為核心,開發出方便管理維護的遠程接入平台軟件。其中有些品牌已經可以實現磁盤映射和遠程打印,並提供簡單的加密功能。安全性和可操作性較windows提供的方案有所提高,但安裝步驟較為繁瑣。且加密等級較低,存在破解風險。而服務器3389端口的開放所帶來的風險依然難以迴避。 第三類:VPN技術 VPN技術的應用同樣由來已久,最大的好處在於數據在公網傳輸都是在VPN加密通道中,相對應的安全性較高。細分起來也有3種主流的VPN技術:PPTP VPN、IPSec VPN以及SSL VPN。 PPTP VPN PPTP是一種遠程撥號技術,windows自帶的撥號程序就提供PPTP VPN撥號。用戶可以通過預先配置好的賬號,通過windows自帶的撥號程序,遠程撥入企業PPTP VPN網關,獲得內網IP地址,進而以內網PC的身份訪問內部應用系統。 PPTP VPN的優勢在於技術的普及,windows自帶撥號程序使得最終用戶無需另行購買安裝額外的軟件,降低了成本和維護。缺點在於,PPTP協議本身也提供較低等級的加密,為數據在公網上傳輸提供相應的安全性。但PPTP的加密安全性等級不高,存在被有心人士破解的風險。且用戶撥入內網後,沒有相應的權限管理,可以訪問到任意內網資源,不利於內部網絡信息安全管理。 IPSec VPN IPSec VPN以其高達168位的加密安全性,以及核心技術的普及所帶來的成本下降,已經成為企業構建跨地域VPN網絡的首選方案。任意兩個網絡之間,只要建立了IPSec VPN,就如同在同一個局域網內,可以任意傳送資料和訪問對方的應用系統。 市面上主流品牌的網關路由器通常都支持IPSec VPN功能,該功能也多用於企業總部與分支之間建立跨地域的VPN,連接多個不同地域的局域網。 IPSec VPN如果用來解決遠程訪問的需要,必須在遠程PC上安裝IPSec VPN客戶端程序。通常這樣的客戶端程序都不是免費的,價格從幾百塊到上千塊不等。且客戶端的配置通常較為複雜,對於企業一般員工,尤其是企業高管人員,存在一定的技術難度。同樣的,IPSec VPN也很難做到權限管理,只要連通VPN,就可以不受限制的訪問任意系統,不利於內部信息安全管理。 SSL VPN SSL VPN所採用的128位加密技術,同樣能夠提供高等級的數據傳輸安全性。且SSL技術普遍內置於各類主流瀏覽器,一般用戶只需要通過https方式進行訪問,就可以在SSL加密的通道中傳輸數據,避免了安裝調試的繁瑣,也不用額外投入費用。正是由於有着高安全性、應用簡便以及低成本的優勢,SSL加密技術已經廣泛應用與網上銀行、在線購物、在線支付等對安全性和移動性要求較高的行業。 對於企業外出或遠程辦公人員,只需打開瀏覽器,輸入企業SSL VPN入口網址或IP,使用個人的VPN賬號登錄,就可以進入企業內網,訪問各類內網資源。市面上的SSL VPN產品通常都帶有用戶權限管理功能,有的可以針對用戶組——例如財務組,行政組等——進行權限設定,管理組內所有成員允許或禁止訪問哪些內網資源或應用系統。還有少數產品甚至可以針對每個用戶進行權限設定,以及執行批量設定操作,大大的增強了企業內網信息安全管理的可操作性。 突破限制 播報 編輯 遠程服務器電源 只有在服務器電源實際處於開機狀態時,才可能對其進行遠程管理,因此必須首先確保遠端的電源和後備電源都運作正常。不間斷電源 (UPS) 系統是標準配備,在本地公共電力供應中斷時可以臨時延續供電。UPS電池一般僅能維持幾分鐘的緊急電力供應——時間只夠用來完成服務器關機過程。 有些服務器根本不能(或者不允許)關閉。對於這類要求零停機時間的應用程序可用性級別,請考慮在UPS電池耗盡前就能接管供電的替代電力來源: 柴油發電機、當地熱電聯產設施,諸如太陽能或風力農場或甲烷動力燃料電池組。可以選擇一個完全冗餘的公共電力提供商和線路,雖然這對於大多數企業而言有些不切實際。 當電源失效時,遠程服務器管理工具並不能幫到你——尤其是電源故障原因是開關面板故障或斷路器跳閘的時候。既要安排技術人員遠程檢查,必要時也需要親臨現場解決問題。 遠程聯網 必須使用網絡才能管理一台遠程服務器,這就需要可靠的互聯網連接,網絡流量歷經本地服務提供商、區域骨幹網和遠程服務提供商。任何網絡通信的中斷都會妨礙對遠程服務器的管理。 遠程數據中心的冗餘互聯網連接是很常見和有用的。真正的冗餘必須使用不同運營商的不同線路才能形成。任何冗餘互聯網提供商必須包括線路冗餘 ;許多組織只是與不同的互聯網提供商簽訂合同,卻讓多家提供商共用相同的物理線路,這種冗餘是不夠格的。 可以部署撥號互聯網連接供緊急使用,但通過撥號線路進行遠程服務器管理是一項挑戰,甚至對最有經驗的管理員也一樣。 考慮雇用技工,在遠程站點當地維護內部網絡。一名技術員可以找到導致連接問題的失效路由器,現場發現內部網絡適配器或交換機端口問題。這些(物理上的)問題都不是遠程管理工具能修復的。
參考來源
- ↑ 如何給電腦設置允許遠程訪問百度知道