標籤: 暫無標籤

遠程訪問是集成的「路由和遠程訪問」服務的一部分,用來為遠程辦公人員、外出人員,以及監視和管理多個部門辦公室伺服器的系統管理員提供遠程網路。

1 遠程訪問 -具體應用

有運行 Windows 的計算機和網路連接的用戶可以撥號遠程訪問他們的網路來獲得服務,例如文件和印表機共享、電子郵件、計劃及 SQL 資料庫訪問。

2 遠程訪問 -用戶分類


通常需要進行遠程訪問的人有兩類,一類是系統管理員,另一類是普通的用戶。
系統管理員通常需要遠程訪問企業內網的網路設備或伺服器,進行遠程配置管理操作。以目前的產品發展來看,大部分企業級的網路設備或伺服器,通常都提供遠程配置管理的介面或功能,管理員可以通過telnet、SSH、web GUI乃至遠程管理軟體終端等方式,從企業網路的WAN側進入內網進行管理維護。
普通用戶的遠程訪問需求,通常是遠程辦公人員、外出人員,尤其是企業高管等需要經常出差又經常需要操作ERP、CRM、HR等信息化系統,進行查看、審批、提單等操作。在企業信息化不斷發展進步的今天,越來越多的此類遠程訪問需求逐漸成為企業IT管理員關注的焦點。

3 遠程訪問 -遠程訪問需求分類


針對普通用戶的遠程訪問需求,目前較為常見的方式有3種。
第一類是直接開放內部應用系統的埠,允許外部IP直接訪問,通過應用系統自身的賬號驗證機制防範非法用戶。
第二類是利用Windows Server 2003及更新的版本所提供的terminal service功能,在外部PC上運行windows遠程桌面,先連接到內網的terminal server,再通過該server代理訪問內網應用系統。
第三類是採用VPN技術實現與企業內網的遠程連接,進而在VPN中訪問內網應用系統。

4 遠程訪問 -第一類:開放埠方式


直接在防火牆上開放內部應用系統的埠。例如某公司ERP系統的應用埠是7001~7006,可以在防火牆上配置將7001~7006埠轉發到內網的ERP伺服器IP地址。外出或遠程辦公人員可以經由訪問企業公網IP的7001~7006埠,直接進入ERP系統。在通過了ERP系統自身的身份驗證之後,就可以進入ERP系統進行操作。
此種方式的實現非常簡單,對於技術能力有限,尤其是預算有限的企業,是一種常見的解決方案。但它的威脅也是顯而易見的。直接向公網開放ERP伺服器埠,會帶來網路攻擊、黑客入侵等安全風險。尤其在病毒和攻擊日益洶湧的今天,這無疑會對內部應用系統以及應用系統伺服器的安全構成嚴重威脅。

5 遠程訪問 -第二類:遠程桌面技術


windows XP、Vista的所有版本上均集成了遠程桌面終端,只需開啟應用系統伺服器上的terminal service功能,並開放防火牆上的3389埠(即遠程桌面技術專用埠),外出或遠程辦公人員就可以通過自己PC上的遠程桌面終端,連接到應用系統伺服器,進而運行相關的應用系統程序。
這一方案因為windows的普及而變得常見。方案的幾個要點是:
1,要通過遠程桌面訪問應用系統,相當於運行應用系統伺服器上的客戶端程序,或以terminal server的內網PC的身份訪問內部應用系統,所生成的文件默認是保存在伺服器端。如需保存在遠端PC上,或在遠端PC所連接的印表機上進行列印,還需要進一步配置terminal service的磁碟映射功能,以及在伺服器上安裝遠程印表機驅動程序等較為複雜的設定。
2,遠程桌面技術本身需要進行身份驗證,比第一類方案多一重驗證機制,安全性必然高於第一類方案。
3,外部PC要通過遠程桌面連接內網伺服器,仍然需要向公網開放3389埠,因開放埠所導致的伺服器受攻擊和入侵的風險依然存在。
4,遠程桌面技術本身不對所傳輸的數據進行加密,如果有人刻意在網路上使用抓包工具,是完全有可能恢復所傳輸的數據,進而造成本應屬於企業內部信息,甚至商業機密的泄露。
市面上已經有部分產品採用遠程桌面技術為核心,開發出方便管理維護的遠程接入平台軟體。其中有些品牌已經可以實現磁碟映射和遠程列印,並提供簡單的加密功能。安全性和可操作性較windows提供的方案有所提高,但安裝步驟較為繁瑣。且加密等級較低,存在破解風險。而伺服器3389埠的開放所帶來的風險依然難以迴避。

6 遠程訪問 -第三類:VPN技術


VPN技術的應用同樣由來已久,最大的好處在於數據在公網傳輸都是在VPN加密通道中,相對應的安全性較高。細分起來也有3種主流的VPN技術:PPTP VPN、IPSec VPN以及SSL VPN。
PPTP VPN
PPTP是一種遠程撥號技術,windows自帶的撥號程序就提供PPTP VPN撥號。用戶可以通過預先配置好的賬號,通過windows自帶的撥號程序,遠程撥入企業PPTP VPN網關,獲得內網IP地址,進而以內網PC的身份訪問內部應用系統。
PPTP VPN的優勢在於技術的普及,windows自帶撥號程序使得最終用戶無需另行購買安裝額外的軟體,降低了成本和維護。缺點在於,PPTP協議本身也提供較低等級的加密,為數據在公網上傳輸提供相應的安全性。但PPTP的加密安全性等級不高,存在被有心人士破解的風險。且用戶撥入內網后,沒有相應的許可權管理,可以訪問到任意內網資源,不利於內部網路信息安全管理。
IPSec VPN
IPSec VPN以其高達168位的加密安全性,以及核心技術的普及所帶來的成本下降,已經成為企業構建跨地域VPN網路的首選方案。任意兩個網路之間,只要建立了IPSec VPN,就如同在同一個區域網內,可以任意傳送資料和訪問對方的應用系統。
目前市面上主流品牌的網關路由器通常都支持IPSec VPN功能,該功能也多用於企業總部與分支之間建立跨地域的VPN,連接多個不同地域的區域網。 IPSec VPN如果用來解決遠程訪問的需要,必須在遠程PC上安裝IPSec VPN客戶端程序。通常這樣的客戶端程序都不是免費的,價格從幾百塊到上千塊不等。且客戶端的配置通常較為複雜,對於企業一般員工,尤其是企業高管人員,存在一定的技術難度。同樣的,IPSec VPN也很難做到許可權管理,只要連通VPN,就可以不受限制的訪問任意系統,不利於內部信息安全管理。
SSL VPN
SSL VPN所採用的128位加密技術,同樣能夠提供高等級的數據傳輸安全性。且SSL技術普遍內置於各類主流瀏覽器,一般用戶只需要通過https方式進行訪問,就可以在SSL加密的通道中傳輸數據,避免了安裝調試的繁瑣,也不用額外投入費用。正是由於有著高安全性、應用簡便以及低成本的優勢,SSL 加密技術已經廣泛應用與網上銀行、在線購物、在線支付等對安全性和移動性要求較高的行業。
對於企業外出或遠程辦公人員,只需打開瀏覽器,輸入企業SSL VPN入口網址或IP,使用個人的VPN賬號登錄,就可以進入企業內網,訪問各類內網資源。目前市面上的SSL VPN產品通常都帶有用戶許可權管理功能,有的可以針對用戶組——例如財務組,行政組等——進行許可權設定,管理組內所有成員允許或禁止訪問哪些內網資源或應用系統。還有少數產品甚至可以針對每個用戶進行許可權設定,以及執行批量設定操作,大大的增強了企業內網信息安全管理的可操作性。

7 遠程訪問 -方案選擇


綜合分析,VPN技術在信息傳輸安全性方面更勝一籌,也逐漸被眾多國內的企業所關注。但VPN技術也存在一些不足,尤其是通過VPN使用ERP系統等遠程操作,通常對帶寬要求較高。帶寬不足就意味著漫長的等待。要解決這一問題,最好的方法是採用VPN與遠程桌面技術的結合,尤其是SSL VPN+遠程桌面技術。

8 遠程訪問 -SSL VPN+遠程桌面


SSL VPN可以保證傳輸安全性,避免開放伺服器埠,同時提供許可權管理。遠程桌面技術的特性是只傳送畫面的變化,理論上每個連接所需帶寬僅28.8k,可以大大降低遠程操作應用系統對帶寬的要求。在SSL VPN通道中使用遠程桌面技術,就可以兼收兩者所長。

9 遠程訪問 -品牌的對比


SSL 技術在1995年就推出了,但多年來只有Cisco、Juniper等幾個高端品牌能夠提供SSL VPN產品。究其原因主要是技術本身高昂的價格,以及遠程訪問需求的市場化進度,導致長時間以來只有銀行、保險以及一些行業的大型企業集團才有相應的需求和支付能力。
隨著需求的逐漸普及,在國外已經有眾多的二線品牌開始推出面向中小企業的SSL VPN產品。而國內在近兩年也出現了許多基於路由器或工業計算機架構的SSL VPN產品。綜合起來看,推薦採用國外品牌的產品,尤其是產自台灣的品牌。
1,SSL VPN在國外已經非常普及,國外品牌的信譽度較高;
2,台灣在IT業的領先地位不容忽視,而其產品價格又多低於歐美品牌,其產品也多行銷全球市場,穩定性和品牌信譽度也較高;
3,國外或台灣品牌的售後服務理念更先進,服務更規範。對於技術實力較弱的中小企業用戶,更需要專業而周到的服務,方能讓先進的技術發揮應用的價值;
4,國內品牌雖每用戶價格略低於國外或台灣品牌,但明顯存在指標虛高,品牌信譽度較低的問題。市場上部分品牌甚至存在採用私有技術冒充SSL VPN的嫌疑。
5,國內品牌往往注重市場拓展,但忽視或輕視售後服務。尤其是話語權較弱,持續銷售機會較小的中小企業用戶,往往難以得到廠家的足夠重視。

相關評論

同義詞:暫無同義詞