您好,歡迎來到易龍商務網!
發布時間:2021-08-04 18:22
【廣告】
遠程訪問——需求分類
針對普通用戶的遠程訪問需求,較為常見的方式有3種。
一類是直接開放內部應用系統的端口,允許外部IP直接訪問,通過應用系統自身的賬號驗證機制防范不合法的用戶。
第二類是利用Windows Server 2003及更新的版本所提供的terminal service功能,在外部PC上運行windows遠程桌面,先連接到內網的terminal server,再通過該server代理訪問內網應用系統。
第三類是采用VPN技術實現與企業內網的遠程連接,進而在VPN中訪問內網應用系統。
遠程訪問的分類
開放端口方式
直接在防火墻上開放內部應用系統的端口。例如某公司ERP系統的應用端口是7001~7006,可以在防火墻上配置將7001~7006端口轉發到內網的ERP服務器IP地址。外出或遠程辦公人員可以經由訪問企業公網IP的7001~7006端口,直接進入ERP系統。在通過了ERP系統自身的身份驗證之后,就可以進入ERP系統進行操作。
此種方式的實現非常簡單,對于技術能力有限,尤其是預算有限的企業,是一種常見的解決方案。但它的威脅也是顯而易見的。直接向公網開放ERP服務器端口,會帶來網絡攻擊等安全風險。尤其在病毒和攻擊日益洶涌的今天,這無疑會對內部應用系統以及應用系統服務器的安全構成嚴重威脅。
遠程訪問——VPN技術
IPSec VPN
IPSec VPN以其高達168位的加密安全性,以及核心技術的普及所帶來的成本下降,已經成為企業構建跨地域VPN網絡的必選方案。任意兩個網絡之間,只要建立了IPSec VPN,就如同在同一個局域網內,可以任意傳送資料和訪問對方的應用系統。
市面上主流品牌的網關路由器通常都支持IPSec VPN功能,該功能也多用于企業總部與分支之間建立跨地域的VPN,連接多個不同地域的局域網。 IPSec VPN如果用來解決遠程訪問的需要,必須在遠程PC上安裝IPSec VPN客戶端程序。通常這樣的客戶端程序都不是免費的,價格從幾百塊到上千塊不等。且客戶端的配置通常較為復雜,對于企業一般員工,尤其是企業高管人員,存在一定的技術難度。同樣的,IPSec VPN也很難做到權限管理,只要連通VPN,就可以不受限制的訪問任意系統,不利于內部信息安全管理。
遠程訪問——遠程聯網
必須使用網絡才能管理一臺遠程服務器,這就需要可靠的互聯網連接,網絡流量歷經本地服務提供商、區域骨干網和遠程服務提供商。任何網絡通信的中斷都會妨礙對遠程服務器的管理。
遠程數據中心的冗余互聯網連接是很常見和有用的。真正的冗余必須使用不同運營商的不同線路才能形成。任何冗余互聯網提供商必須包括線路冗余 ;許多組織只是與不同的互聯網提供商簽訂合同,卻讓多家提供商共用相同的物理線路,這種冗余是不夠格的。
可以部署撥號互聯網連接供緊急使用,但通過撥號線路進行遠程服務器管理是一項挑戰,甚至對有經驗的管理員也一樣。
考慮雇用技工,在遠程站點當地維護內部網絡。一名技術員可以找到導致連接問題的失效路由器,現場發現內部網絡適配器或交換機端口問題。這些(物理上的)問題都不是遠程管理工具能修復的。
