限制 Internet 上的 RDP 会话,但不限制 LAN 上的 RDP 会话

限制 Internet 上的 RDP 会话,但不限制 LAN 上的 RDP 会话

公平警告:我是一名程序员,不是 IT 人员。因此,我不知道自己在说什么,完全听天由命。

我有三台专用机器,我们目前通过互联网通过 RDP 进行管理。我们还有一台虚拟机,我们在虚拟机上进行同样的操作。虚拟机和专用机器都在同一个 LAN 上。

我想限制对专用机器的访问,以便 RDP 会话它们只能从虚拟服务器启动。简而言之,我们不希望允许通过互联网与专用机器进行 RDP 会话。

最终目标是:您通过 Internet 通过 RDP 连接到虚拟机,然后从那里通过 RDP 连接到专用机器。

这是为了保护专用机器免受外部入侵而提出的一种方式。

所以我猜测有两件事:

  1. 这样做有意义吗?它真的能增加任何级别的安全性吗?如果没有,那么正确的如何减少未经授权访问专用服务器的风险?
  2. 如果确实如此,那么我应该朝哪个方向寻找?即使只是几个让我开始使用 Google 的术语也很棒。

答案1

以这种方式限制访问可能是一种安全增益(减少暴露的服务),但只有当您确保虚拟机被高度锁定、用户帐户受到限制并使用强密码、您使用的 RDP 版本和客户端符合最新规格并使用加密,并且您对其进行严格监控时才可以。

话虽如此,您可以使用许多工具来实现这种模型,具体取决于您的网络架构。最好的实现位置可能是您的边界防火墙或路由器 - 只需确保只有虚拟机的 RDP 端口暴露在互联网上,而其他机器则不会暴露。当然,理想情况下,您有这样的路由器/防火墙,并且它被锁定以不允许随意连接 - 只允许互联网上的客户端可以使用所需的端口。

如果你不这样做,那么你将面临更大的问题,而这些问题应该在解决这个问题之前得到解决。

或者,您可以在三台专用机器上使用 Windows 防火墙(我假设您使用的 Windows 版本具有可用的主机防火墙)以仅允许来自虚拟机的 RDP 连接。

如果这些都不太合理或看起来不容易,我建议找一个网络管理员来帮忙。如果这不可能,我会阅读特定于您特定版本的 Windows 的防火墙设置文档 - 或许可以开始这里

祝你好运!

答案2

听起来远程桌面网关(RDG)(在 Server 2008 R2 中如此称呼。在 Server 2008 中称为终端服务网关)在这种情况下会很好地为您服务。

它为您提供与虚拟机理念相同的好处(更少的攻击面和启用的攻击端口),同时还确保 SSL 传输和您定义的用户/计算机策略。

这个想法是,您在一台服务器上设置 RDG,并将 443 端口从 Internet 转发到该服务器。然后,您创建连接授权策略 (CAP) 来定义谁可以使用 RDG,然后创建资源授权策略 (RAP) 来定义 LAN 上的哪些内部计算机可以通过 RDG 访问。

从那里,您可以查看当前登录到 RDG 的用户,以及根据需要在自定义日志条目上设置通知事件(通过 Server 2008 事件日志工具)。

以下是使用 RDG 的分步指南: http://www.microsoft.com/download/en/details.aspx?id=5177

通过谷歌快速搜索远程桌面网关,你将会得到一些简单易懂的 RDG 介绍。

相关内容