快速业务通道

保障应用程序集中访问安全新选择: Windows Server 2008 TS 网关

作者 佚名技术 来源 操作系统 浏览 发布时间 2012-06-26

保障应用程序集中访问安全新选择:WindowsServer2008TS网关 随着地域跨度的不断加大,人员数量的增长以及组织结构复杂性的增强,越来越多的组织机构采用集中的应用部署以及管理的方式来获得高效的信息流通,这也对支撑业务系统的IT基础架构提出了越来越高的要求。从WindowsNT4.0TSE到后来的WindowsServer2000以及WindowsServer2003,微软向客户提供了终端服务(TerminalService),使用终端服务,用户无需在本地计算机部署应用程序,就可以远程访问集中部署在终端服务器上的应用程序。同时利用远程桌面服务,管理员可以远程集中管理服务器。然而由于安全性的一些风险,终端服务的应用受到了制约,这些风险在Windowsserver2008中得到了有效控制。先让我们来看一下WindowsServer2008之前,管理员如何来保护应用服务器访问安全性的吧。

图1应用程序远程访问示意图  

498)this.width=498;'' onmousewheel = ''javascript:return big(this)'' alt="ALT=Windows Server 2008" src="http://images.51cto.com/files/uploadimg/20100603/1737260.jpg" width="550" border="0" />

如图一所示,在Windows2003及以前的操作系统中,管理员要提供远程用户对内网中应用服务器的访问,主要采用两种模式: 1.使用VPN连接 VPN是被很多用户所熟知的的一种远程访问方式,它要求远程用户在访问服务器之前先建立一个VPN连接,在客户端和服务器之间建立了一个虚拟的私有网络通道,所有的应用访问及数据访问均在这个连接基础之上完成。尽管这种方案提供了一定的安全性,同时也比较灵活,但有时候并不太方便。因为许多公共Internet接入点并没有开启PPTP或L2TP通信端口。出差的用户一般是通过酒店的网络来访问Internet的,而这种网络有一些也无法初始化VPN连接。同时由于使用VPN方式连接时,所有的应用数据都会在网络上传递,这对网络连接的要求也比较高,网络的可用性及带宽在很多时候会制约应用程序的实用。 2.使用终端服务访问: 管理员比较熟悉的终端服务访问方式是在防火墙上打开TCP端口3389,将从Internet客户端上发来的请求转发给本地网络中TS服务器的IP地址。由于终端服务采用的RDP访问协议仅仅将服务器上用户的会话界面的变化信息传递给客户端,所以RDP协议对网络的带宽要求比较低,同时应用程序的相关数据并不会在网络上传递,这也保证了数据的安全性。 不过,直接向Internet开启TCP3389端口可能会导致安全风险,因为服务器的暴露,使得用户可以直接访问服务器上所有的资源。而且如果你要将多于一台服务器发布到Internet,我们还需要多个公网IP地址,有的管理员采用NAT开放3389之外的端口映射到内网多个服务器上,这虽然减少了公网IP的需求,却给用户的访问带来了不便。 为了解决上述问题,windowsserver2008中在终端服务的安全方面作了很大改进,其中有一个新的组件—TS网关(TSGateway)。它把RDP封装在HTTPS中(也称为RDPoverHTTPS),用户在访问服务器时通过HTTPS的端口TCP443连接到TS网关服务器。TS网关对客户端进行身份验证后,从HTTPS中解压RDP,然后在端口3389上把连接转发到目标资源。(如下图所示)。

图2通过TSGateway访问远程服务器  

498)this.width=498;'' onmousewheel = ''javascript:return big(this)'' alt="ALT=Windows Server 2008" src="http://images.51cto.com/files/uploadimg/20100603/1737261.jpg" width="550" border="0" /> 

通过TS网关,客户端只需要访问端口443即可建立一个安全的RDP会话。由于只需要使用一个端口,RDPoverHTTPS支持那些只允许HTTP和HTTPS出站通信的代理服务器。我们只需要一个外网公共IP地址,通过这个IP地址即可发布TS网关服务器,用户在访问时也会由TS网关服务器转发访问到对

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!

分享到: 更多

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD):厦门软件园二期望海路63号701E(东南融通旁) 邮编(ZIP):361008

电话:0592-5908028 传真:0592-5908039 咨询信箱:web@lingzhong.cn 咨询OICQ:173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号