远程访问(Remote access)是集成的“路由和远程访问”服务的一部分,用来为远程办公人员、外出人员,以及监视和管理多个部门办公室服务器的系统管理员提供远程网络。 远程访问服务提供的是一种全面的远程系统管理解决方案,可用于配备了 远程访问卡 (DRAC) III、DRAC III/XT、Dell 嵌入式远程访问 (ERA) 控制器或 ERA 选件 (ERA/O) 卡并装有 SNMP 和 CIM 的系统。这些硬件和软件解决方案统称为远程访问控制器 (RAC)。远程访问服务使您可以远程访问未运行的系统,使其尽快启动并运行。远程访问服务还可在系统停机时提供警报通知,并允许您远程重新启动系统。此外,远程访问服务还将记录系统崩溃的可能原因并保存最近一次的崩溃屏幕。
- 具体应用
-
用户分类
通常需要进行远程访问的人有两类,一类是系统管理员,另一类是普通的用户。系统管理员通常需要远程访问企业内网的网络设备或服务器,进行远程配置管理操作。以当前的产品发展来看,大部分企业级的网络设备或服务器,通常都提供远程配置管理的接口或功能,管理员可以通过telnet、SSH、web GUI乃至远程管理软件终端等方式,从企业网络的WAN侧进入内网进行管理维护。
-
需求分类
针对普通用户的远程访问需求,较为常见的方式有3种。第一类是直接开放内部应用系统的端口,允许外部IP直接访问,通过应用系统自身的账号验证机制防范非法用户。第二类是利用Windows Server 2003及更新的版本所提供的terminal service功能,在外部PC上运行windows远程桌面,先连接到内网的terminal server,再通过该server代理访问内网应用系统。
第一类:开放端口方式
直接在防火墙上开放内部应用系统的端口。例如某公司ERP系统的应用端口是7001~7006,可以在防火墙上配置将7001~7006端口转发到内网的ERP服务器IP地址。外出或远程办公人员可以经由访问企业公网IP的7001~7006端口,直接进入ERP系统。在通过了ERP系统自身的身份验证之后,就可以进入ERP系统进行操作。此种方式的实现非常简单,对于技术能力有限,尤其是预算有限的企业,是一种常见的解决方案。但它的威胁也是显而易见的。直接向公网开放ERP服务器端口,会带来网络攻击、黑客入侵等安全风险。尤其在病毒和攻击日益汹涌的今天,这无疑会对内部应用系统以及应用系统服务器的安全构成严重威胁。第二类:远程桌面技术
windows XP、Vista的所有版本上均集成了远程桌面终端,只需开启应用系统服务器上的terminal service功能,并开放防火墙上的3389端口(即远程桌面技术专用端口),外出或远程办公人员就可以通过自己PC上的远程桌面终端,连接到应用系统服务器,进而运行相关的应用系统程序。这一方案因为windows的普及而变得常见。方案的几个要点是:1,要通过远程桌面访问应用系统,相当于运行应用系统服务器上的客户端程序,或以terminal server的内网PC的身份访问内部应用系统,所生成的文件默认是保存在服务器端。如需保存在远端PC上,或在远端PC所连接的打印机上进行打印,还需要进一步配置terminal service的磁盘映射功能,以及在服务器上安装远程打印机驱动程序等较为复杂的设定。3,外部PC要通过远程桌面连接内网服务器,仍然需要向公网开放3389端口,因开放端口所导致的服务器受攻击和入侵的风险依然存在。市面上已经有部分产品采用远程桌面技术为核心,开发出方便管理维护的远程接入平台软件。其中有些品牌已经可以实现磁盘映射和远程打印,并提供简单的加密功能。安全性和可操作性较windows提供的方案有所提高,但安装步骤较为繁琐。且加密等级较低,存在破解风险。而服务器3389端口的开放所带来的风险依然难以回避。第三类:VPN技术
VPN技术的应用同样由来已久,最大的好处在于数据在公网传输都是在VPN加密通道中,相对应的安全性较高。细分起来也有3种主流的VPN技术:PPTP VPN、IPSec VPN以及SSL VPN。PPTP VPNPPTP是一种远程拨号技术,windows自带的拨号程序就提供PPTP VPN拨号。用户可以通过预先配置好的账号,通过windows自带的拨号程序,远程拨入企业PPTP VPN网关,获得内网IP地址,进而以内网PC的身份访问内部应用系统。PPTP VPN的优势在于技术的普及,windows自带拨号程序使得最终用户无需另行购买安装额外的软件,降低了成本和维护。缺点在于,PPTP协议本身也提供较低等级的加密,为数据在公网上传输提供相应的安全性。但PPTP的加密安全性等级不高,存在被有心人士破解的风险。且用户拨入内网后,没有相应的权限管理,可以访问到任意内网资源,不利于内部网络信息安全管理。IPSec VPNIPSec VPN以其高达168位的加密安全性,以及核心技术的普及所带来的成本下降,已经成为企业构建跨地域VPN网络的首选方案。任意两个网络之间,只要建立了IPSec VPN,就如同在同一个局域网内,可以任意传送资料和访问对方的应用系统。市面上主流品牌的网关路由器通常都支持IPSec VPN功能,该功能也多用于企业总部与分支之间建立跨地域的VPN,连接多个不同地域的局域网。 IPSec VPN如果用来解决远程访问的需要,必须在远程PC上安装IPSec VPN客户端程序。通常这样的客户端程序都不是免费的,价格从几百块到上千块不等。且客户端的配置通常较为复杂,对于企业一般员工,尤其是企业高管人员,存在一定的技术难度。同样的,IPSec VPN也很难做到权限管理,只要连通VPN,就可以不受限制的访问任意系统,不利于内部信息安全管理。SSL VPNSSL VPN所采用的128位加密技术,同样能够提供高等级的数据传输安全性。且SSL技术普遍内置于各类主流浏览器,一般用户只需要通过https方式进行访问,就可以在SSL加密的通道中传输数据,避免了安装调试的繁琐,也不用额外投入费用。正是由于有着高安全性、应用简便以及低成本的优势,SSL加密技术已经广泛应用与网上银行、在线购物、在线支付等对安全性和移动性要求较高的行业。对于企业外出或远程办公人员,只需打开浏览器,输入企业SSL VPN入口网址或IP,使用个人的VPN账号登录,就可以进入企业内网,访问各类内网资源。市面上的SSL VPN产品通常都带有用户权限管理功能,有的可以针对用户组——例如财务组,行政组等——进行权限设定,管理组内所有成员允许或禁止访问哪些内网资源或应用系统。还有少数产品甚至可以针对每个用户进行权限设定,以及执行批量设定操作,大大的增强了企业内网信息安全管理的可操作性。 - 方案选择
- 远程桌面
-
品牌对比
SSL 技术在1995年就推出了,但多年来只有Cisco、Juniper等几个高端品牌能够提供SSL VPN产品。究其原因主要是技术本身高昂的价格,以及远程访问需求的市场化进度,导致长时间以来只有银行、保险以及一些行业的大型企业集团才有相应的需求和支付能力。随着需求的逐渐普及,在国外已经有众多的二线品牌开始推出面向中小企业的SSL VPN产品。而国内在近两年也出现了许多基于路由器或工业计算机架构的SSL VPN产品。综合起来看,推荐采用国外品牌的产品,尤其是产自台湾的品牌。1,SSL VPN在国外已经非常普及,国外品牌的信誉度较高;2,台湾在IT业的领先地位不容忽视,而其产品价格又多低于欧美品牌,其产品也多行销全球市场,稳定性和品牌信誉度也较高;3,国外或台湾品牌的售后服务理念更先进,服务更规范。对于技术实力较弱的中小企业用户,更需要专业而周到的服务,方能让先进的技术发挥应用的价值;4,国内品牌虽每用户价格略低于国外或台湾品牌,但明显存在指标虚高,品牌信誉度较低的问题。市场上部分品牌甚至存在采用私有技术冒充SSL VPN的嫌疑。5,国内品牌往往注重市场拓展,但忽视或轻视售后服务。尤其是话语权较弱,持续销售机会较小的中小企业用户,往往难以得到厂家的足够重视。
-
突破限制
远程服务器电源
只有在服务器电源实际处于开机状态时,才可能对其进行远程管理,因此必须首先确保远端的电源和后备电源都运作正常。不间断电源 (UPS) 系统是标准配备,在本地公共电力供应中断时可以临时延续供电。UPS电池一般仅能维持几分钟的紧急电力供应——时间只够用来完成服务器关机过程。有些服务器根本不能(或者不允许)关闭。对于这类要求零停机时间的应用程序可用性级别,请考虑在UPS电池耗尽前就能接管供电的替代电力来源: 柴油发电机、当地热电联产设施,诸如太阳能或风力农场或甲烷动力燃料电池组。可以选择一个完全冗余的公共电力提供商和线路,虽然这对于大多数企业而言有些不切实际。当电源失效时,远程服务器管理工具并不能帮到你——尤其是电源故障原因是开关面板故障或断路器跳闸的时候。既要安排技术人员远程检查,必要时也需要亲临现场解决问题。远程联网
必须使用网络才能管理一台远程服务器,这就需要可靠的互联网连接,网络流量历经本地服务提供商、区域骨干网和远程服务提供商。任何网络通信的中断都会妨碍对远程服务器的管理。远程数据中心的冗余互联网连接是很常见和有用的。真正的冗余必须使用不同运营商的不同线路才能形成。任何冗余互联网提供商必须包括线路冗余 ;许多组织只是与不同的互联网提供商签订合同,却让多家提供商共用相同的物理线路,这种冗余是不够格的。可以部署拨号互联网连接供紧急使用,但通过拨号线路进行远程服务器管理是一项挑战,甚至对最有经验的管理员也一样。考虑雇用技工,在远程站点当地维护内部网络。一名技术员可以找到导致连接问题的失效路由器,现场发现内部网络适配器或交换机端口问题。这些(物理上的)问题都不是远程管理工具能修复的。